Как я могу получить историю запущенных процессов [дубликат]

Мне нужно получить историю того, какие процессы выполнялись на моей машине с Windows, и когда они запускались. Однако я не могу использовать любое стороннее программное обеспечение, так как не могу гарантировать, что оно всегда будет работать.

Есть ли способ получить эту информацию только с помощью встроенных функций Windows?

Конечно. Вы можете использовать встроенную регистрацию событий Windows (при условии, что у вас нет дешевого издания, в котором его нет).

1. Нажмите Win+ Rи введите gpedit.msc, чтобы открыть диспетчер групповой политики.

2. На левой панели перейдите к

   Политика локального компьютера \ Конфигурация компьютера \ Параметры Windows \ Параметры безопасности \ Локальные политики \ Политика аудита

3. На правой панели дважды щелкните «Аудит отслеживания процессов» и установите оба флажка.

С этого момента все процессы создания и удаления (и неудачные попытки одного и того же) будут отображаться в журнале безопасности.

Чтобы просмотреть их, запустите Event Viewer. (Нажмите клавишу Windows и начните вводить «Просмотр событий».) На левой панели разверните поддерево «Журналы Windows» и нажмите «Безопасность». Все события безопасности будут отображаться.

На правой панели вы можете настроить фильтр для поиска идентификаторов событий, таких как 4688 или 4689, или любых других поддерживаемых критериев.

Возможно, вы решите не включать ведение журнала сбоев, так как вы ищете «что было выполнено и когда», и если создание процесса не удалось, то ничего не запустилось ... но это ваше дело.

Вы не ограничены только чтением журнала событий на своем экране. «Запланированные задачи» Windows могут запускаться записями журнала событий, которые соответствуют указанным вами критериям. Вы также можете прочитать журнал событий с помощью скрипта PowerShell (или, конечно, с помощью обычной программы) и делать вещи, основываясь на том, что вы найдете.

NB. В ответе Дэвида Постилля более подробно описаны некоторые коды событий и т. Д. Не игнорируйте его!

Как я могу получить историю запущенных процессов

По умолчанию такой истории нет и она нигде не регистрируется.

Однако вы можете включить отслеживание процессов в журнале событий безопасности Windows.

Это даст вам необходимую информацию.

Примечания:

• Решение требует внесения изменений в групповую политику с помощью gpedit.

• К сожалению, редактор групповой политики (gpedit) не включен в версии Windows для начинающих, Home и Home Premium.

• См. Мои вопросы и ответы Windows Starter Edition, Home и Home Premium не включают gpedit, как мне его установить? инструкции о том, как его установить.

Как использовать события отслеживания процессов в журнале безопасности Windows

В Windows 2003 / XP вы получаете эти события, просто включив политику аудита отслеживания процессов.

В Windows 7/2008 + необходимо включить создание процесса аудита и, при необходимости, подкатегории завершения процесса аудита, которые вы найдете в разделе «Расширенная настройка политики аудита» в объектах групповой политики.

Эти события невероятно ценны, потому что они дают исчерпывающий контрольный журнал каждый раз, когда любой исполняемый файл в системе запускается как процесс. Вы даже можете определить, как долго выполняется процесс, связав событие создания процесса с событием завершения процесса, используя идентификатор процесса, найденный в обоих событиях. Примеры обоих событий приведены ниже.

Источник Как использовать события отслеживания процессов в журнале безопасности Windows

Как включить создание процесса аудита

1. Запустите gpedit.msc

2. Выберите «Настройки Windows»> «Настройки безопасности»> «Локальные политики»> «Политика аудита»

   

3. Щелкните правой кнопкой мыши «Аудит отслеживания процессов» и выберите «Свойства»

4. Проверьте «Успех» и нажмите «ОК»

   

Что такое отслеживание процессов аудита

Этот параметр безопасности определяет, будет ли ОС проверять связанные с процессом события, такие как создание процесса, завершение процесса, дублирование обработки и косвенный доступ к объектам.

Если этот параметр политики определен, администратор может указать, следует ли проверять только успехи, только неудачи, как успехи, так и неудачи, или вообще не проверять эти события (т.е. ни успехи, ни неудачи).

Если включен Аудит успеха, запись аудита создается каждый раз, когда ОС выполняет одно из этих действий, связанных с процессом.

Если аудит отказов включен, запись аудита создается каждый раз, когда ОС не может выполнить одно из этих действий.

По умолчанию: без аудита

Важное замечание: Для большего контроля над политиками аудита используйте параметры в узле Конфигурация расширенной политики аудита. Дополнительные сведения о настройке расширенной политики аудита см. По адресу http://go.microsoft.com/fwlink/?LinkId=140969 .

Дальнейшее чтение

• Энциклопедия журнала безопасности Windows