Мені потрібно отримати історію того, які процеси запускалися на моїй машині Windows та коли вони були запущені. Однак я не можу використовувати жодне сторонне програмне забезпечення, оскільки не можу гарантувати, що воно завжди буде працювати.
Чи є спосіб отримати цю інформацію лише за допомогою вбудованої функціональності Windows?
Відповіді:
Звичайно. Ви можете використовувати вбудований журнал подій Windows (якщо припустити, що ви не користуєтеся дешевим виданням, у якому його немає).
На лівій панелі перейдіть до
Локальна комп’ютерна політика \ Конфігурація комп'ютера \ Налаштування Windows \ Налаштування безпеки \ Локальні політики \ Політика аудиту
На правій панелі двічі клацніть «Аудит відстеження процесу» та встановіть обидва поля
Відтепер усі створення та видалення процесів (і невдалі спроби при цьому) з'являтимуться в журналі безпеки.
Щоб переглянути їх, запустіть Переглядач подій. (Натисніть клавішу Windows і почніть вводити "Переглядач подій".) На лівій панелі розгорніть під деревце "Журнали Windows" і натисніть "Безпека". Будуть показані всі події безпеки.
На правій панелі можна встановити фільтр, щоб шукати ідентифікатори подій, наприклад 4688 або 4689, або будь-які інші підтримувані критерії.
Ви можете подумати, щоб не ввімкнути реєстрацію відмов, оскільки ви шукаєте "що запустилося і коли", а якщо створення процесу не вдалося, то нічого не запущено ... але це залежить від вас.
Ви не обмежуєтесь лише читанням журналу подій на екрані. "Заплановані завдання" Windows можуть бути спровоковані записами журналу подій, які відповідають критеріям, які ви вказуєте. Ви також можете прочитати журнал подій за допомогою сценарію PowerShell (або, звичайно, за допомогою звичайної програми) та робити речі, залежно від того, що ви знайдете.
NB: Відповідь Девіда Постілла дає більш детальну інформацію про деякі коди подій тощо. Не ігноруйте це!
За замовчуванням такої історії немає і вона нікуди не реєструється.
Однак ви можете ввімкнути події відстеження процесів у Журналі подій безпеки Windows.
Це дасть вам необхідну інформацію.
Примітки:
Рішення вимагає внесення змін до групової політики за допомогою gpedit.
На жаль, редактор групової політики (gpedit) не входить у версії Starter Edition, Home та Home Premium Windows.
Дивіться, що в моїх запитах і запитах Windows Starter Edition, Home and Home Premium не входить gpedit, як це встановити? інструкції щодо її встановлення.
У Windows 2003 / XP ви отримуєте ці події, просто включивши політику аудиту відстеження процесів.
У Windows 7/2008 + вам потрібно ввімкнути створення процесу аудиту та, за бажанням, підкатегорії завершення процесу аудиту, які ви знайдете в розділі Розширена конфігурація політики аудиту в об'єктах групової політики.
Ці події є надзвичайно цінними, тому що вони дають вичерпний аудиторський слід щоразу, коли будь-який виконуваний у системі запускається як процес. Ви навіть можете визначити, як довго триває процес, пов'язуючи подію створення процесу з подією завершення процесу, використовуючи ідентифікатор процесу, знайдений в обох подіях. Приклади обох подій наведені нижче.
Джерело Як використовувати події відстеження процесів у журналі безпеки Windows
Запустіть gpedit.msc
Виберіть "Налаштування Windows"> "Налаштування безпеки"> "Місцева політика"> "Аудиторська політика"
Клацніть правою кнопкою миші "Відстеження процесу відстеження" та виберіть "Властивості"
Поставте прапорець "Успіх" і натисніть "ОК"
Цей параметр безпеки визначає, чи перевіряє ОС оперативні події, такі як створення процесу, припинення процесу, дублювання та непрямий доступ до об'єктів.
Якщо цей параметр політики визначений, адміністратор може вказати, чи слід перевіряти лише успіхи, лише невдачі, і успіхи, і невдачі, чи взагалі не перевіряти ці події (тобто, ні успіхи, ні збої).
Якщо ввімкнено аудит успіху, запис аудиту створюється кожного разу, коли ОС виконує одну з цих процедур.
Якщо ввімкнено аудит відмов, запис аудиту створюється кожного разу, коли ОС не виконує одну з цих дій.
За замовчуванням: немає аудиту
Важливо: Для більшого контролю над правилами аудиту використовуйте параметри у вузлі розширеної конфігурації політики аудиту. Щоб отримати докладнішу інформацію про розширену конфігурацію політики аудиту, див. Http://go.microsoft.com/fwlink/?LinkId=140969 .
