To pytanie ma już odpowiedź tutaj:
Muszę uzyskać historię, które procesy uruchomiły się na moim komputerze z systemem Windows i kiedy zostały uruchomione. Nie mogę jednak używać oprogramowania innych firm, ponieważ nie mogę zagwarantować, że będzie ono zawsze działać.
Czy jest jakiś sposób na uzyskanie tych informacji tylko przy użyciu wbudowanej funkcji systemu Windows?
Odpowiedzi:
Pewnie. Możesz użyć wbudowanego rejestrowania zdarzeń Windows (zakładając, że nie korzystasz z taniej wersji, która go nie ma).
W lewym okienku przejdź do
Lokalne zasady komputera \ Konfiguracja komputera \ Ustawienia systemu Windows \ Ustawienia zabezpieczeń \ Zasady lokalne \ Zasady inspekcji
W prawym okienku kliknij dwukrotnie „Audytuj śledzenie procesu” i zaznacz oba pola
Odtąd wszystkie tworzenie i usuwanie procesów (i ich nieudane próby) pojawią się w dzienniku bezpieczeństwa.
Aby je wyświetlić, uruchom Podgląd zdarzeń. (Naciśnij klawisz Windows i zacznij pisać „Podgląd zdarzeń”.) W lewym okienku rozwiń poddrzewo „Dzienniki systemu Windows” i kliknij „Bezpieczeństwo”. Wszystkie zdarzenia bezpieczeństwa zostaną wyświetlone.
W prawym okienku możesz skonfigurować Filtr, aby wyszukiwał identyfikatory zdarzeń, takie jak 4688 lub 4689, lub inne obsługiwane kryteria.
Możesz rozważyć wyłączenie włączania rejestrowania awarii, ponieważ szukasz „tego, co się uruchomiło i kiedy”, a jeśli tworzenie procesu się nie powiedzie, nic się nie uruchomi… ale to zależy od ciebie.
Nie jesteś również ograniczony do czytania dziennika zdarzeń na ekranie. „Zaplanowane zadania” systemu Windows mogą być wyzwalane przez wpisy dziennika zdarzeń, które spełniają określone kryteria. Możesz także czytać dziennik zdarzeń za pomocą skryptu PowerShell (lub oczywiście za pomocą zwykłego programu) i robić rzeczy w oparciu o to, co znajdziesz.
Uwaga: Odpowiedź Davida Postilla zawiera więcej szczegółów na temat niektórych kodów zdarzeń itp. Nie ignoruj tego!
Domyślnie taka historia nie istnieje i nie jest nigdzie rejestrowana.
Można jednak włączyć zdarzenia śledzenia procesu w dzienniku zdarzeń zabezpieczeń systemu Windows.
Otrzymasz potrzebne informacje.
Uwagi:
Rozwiązanie wymaga wprowadzenia zmian w zasadach grupy za pomocą gpedit.
Niestety Edytor zasad grupy (gpedit) nie jest dołączony do wersji Starter Edition, Home i Home Premium systemu Windows.
Zobacz, czy moje pytania i odpowiedzi Windows Starter Edition, Home i Home Premium nie zawierają gpedit, jak to zainstalować? instrukcje dotyczące instalacji.
W Windows 2003 / XP zdarzenia te uzyskuje się po prostu włączając zasady inspekcji Śledzenie procesów.
W systemie Windows 7/2008 + musisz włączyć tworzenie procesu kontroli i opcjonalnie podkategorie Zakończenie procesu kontroli, które znajdziesz w sekcji Zaawansowana konfiguracja zasad kontroli w obiektach zasad grupy.
Te zdarzenia są niezwykle cenne, ponieważ zapewniają kompleksową ścieżkę audytu za każdym razem, gdy dowolny plik wykonywalny w systemie jest uruchamiany jako proces. Możesz nawet określić czas trwania procesu, łącząc zdarzenie tworzenia procesu ze zdarzeniem zakończenia procesu, używając identyfikatora procesu znalezionego w obu zdarzeniach. Przykłady obu zdarzeń pokazano poniżej.
Źródło Jak korzystać ze śledzenia procesów w dzienniku zabezpieczeń systemu Windows
Uruchom gpedit.msc
Wybierz „Ustawienia systemu Windows”> „Ustawienia zabezpieczeń”> „Zasady lokalne”> „Zasady inspekcji”
Kliknij prawym przyciskiem myszy „Śledź proces śledzenia” i wybierz „Właściwości”
Zaznacz „Sukces” i kliknij „OK”
To ustawienie zabezpieczeń określa, czy system operacyjny kontroluje zdarzenia związane z procesem, takie jak tworzenie procesu, zakończenie procesu, obsługa duplikacji i pośredni dostęp do obiektów.
Jeśli to ustawienie zasad jest zdefiniowane, administrator może określić, czy należy kontrolować tylko sukcesy, tylko niepowodzenia, zarówno sukcesy, jak i niepowodzenia, czy też nie w ogóle kontrolować te zdarzenia (tj. Ani sukcesy, ani niepowodzenia).
Jeśli kontrola sukcesu jest włączona, pozycja kontroli jest generowana za każdym razem, gdy system operacyjny wykonuje jedno z tych działań związanych z procesem.
Jeśli włączono inspekcję błędów, pozycja kontroli jest generowana za każdym razem, gdy system operacyjny nie wykona jednej z tych czynności.
Domyślnie: brak kontroli
Ważne: Aby uzyskać większą kontrolę nad zasadami inspekcji, użyj ustawień w węźle Zaawansowana konfiguracja zasad inspekcji. Aby uzyskać więcej informacji na temat zaawansowanej konfiguracji zasad inspekcji, zobacz http://go.microsoft.com/fwlink/?LinkId=140969 .
