Чи проводяться / викликаються програми журналів Windows?


36

Чи є в Windows журнал, який записує, які програми запускалися / викликались?

Під час перегляду Інтернету, перегляду статичної сторінки без реклами, натискань миші, натискання клавіші чи інших плагінів / аддонів / скриптів, я просто побачив, як спонтанна консоль CMD.exe відкривається, а потім негайно закривається спалахом, досить швидко, що я не зміг нічого побачити у вікні - і без явного спрацьовування з мого боку.

Мені цікаво, чи є якийсь тип журналу Windows, який показує, які програми були запущені / викликані / активовані? Я хотів би побачити, що відбувається за лаштунками, коли це вікно консолі спалахнуло, і, сподіваюся, визначу, що це не щось негідне.

Для довідки, я запускаю Windows 7 Ultimate x64.


Це було під час запуску чи ви щось встановлювали?
Ян Догген

Я просто переглядав Інтернет - і навіть не активно. Я читав уже завантажену статичну веб-сторінку, не натискаючи клавіш, клавіш чи запитів. Я зараз редагую це питання, щоб його вдосконалити, тому що я справді запитую, чи є якийсь тип журналу запуску / ініціацій програми, а саме - командного рядка.
Coldblackice

Спробуйте побачити у переглядачі подій Windows.
stderr

@JanDoggen Це було посеред дня, ніде не було жодних стартапів, відключень, перезавантажень чи установок. Я щойно читав у своєму браузері на вже завантаженій сторінці, з усіма спливаючими вікнами / оголошеннями / сценаріями вимкнено, не перевіряючи / оновляючи віруси. Крім того, я міг бачити, що це вікно командного рядка блимало, а потім зникало.
Coldblackice

1
Щойно зіткнувшись із подібною проблемою і натрапивши на своє запитання, ви дізналися, що це було?
дядько Лем

Відповіді:


29

Ви не зможете перевірити, що вибігли, але можете підготуватися до наступного разу. Якщо ви відкриєте secpol.msc, можете перейти до local policies/audit policy. Увімкніть Success(і, можливо, також Failure), Audit process trackingі ви отримаєте запис журналу подій у журналі подій безпеки кожного разу, коли процес починається чи закінчується. На жаль, ви побачите процес, який запускався, але не командний рядок, з якого він був запущений.

Якщо ви активуєте аудит, може скластись багато журналів, тому слід налаштувати розмір журналу подій безпеки.

Ви можете отримати доступ до журналів за eventvwr.mscдопомогою протоколів Windows, безпеки.


Якщо я не бачу командного рядка, то що я побачу?
Дімс

@Dims Якщо "notepad myfile.txt" було запущено, ви побачите "блокнот", але не "myfile.txt".
Вернер Генце

@WernerHenze, все-таки зробити це на домашньому комп’ютері? ... Windows не вдається знайтиsecpol.msc
Pacerier

@Pacerier Яка версія / видання Windows?
Вернер Гензе

де розташовані колоди?
tisaconundrum

10

Марк Русинович Sysinternals Process Monitor робить це. Серед доступу до файлів / рег / мережевих доступу, він може відстежувати термін служби proc / thread і дозволяє багато фільтрувати.


1
Чи довелося б це запускати, щоб зафіксувати процес, який відкрився? Або він здатний повідомляти про життя потоку незалежно від відстеження Прокмона?
Coldblackice

Що "це" не залежить від пмону? Ви маєте на увазі моніторинг без монітора? Як ти це уявляєш?
Валь

1
Що я мав на увазі - чи потрібно, щоб монітор процесів працював, щоб відстежувати тривалість життя proc / thread, чи це глобально зберігається незалежно від монітора процесів?
Coldblackice

2
Монітор процесів - це те, що він говорить - монітор. Це не переглядач журналів Windows. Він вводить деякі драйвери в основні функції Windows і реєструє дзвінки himslef. Ви не можете контролювати без монітора. Добре?
Валь

1
На жаль, я переплутав Монітор процесу з Провідником процесорів - Провідник процесів може бачити час запуску / запуску процесу без активності (моніторинг) під час першого запуску відповідної програми. Я думав, що це про Explorer Explorer. Спасибі.
Coldblackice

2

Можливо, це було запущене планове завдання. Перевірте планувальник завдань на наявність завдань.

Ви також можете перевірити переглядач подій на що-небудь, хоча, ймовірно, нічого не буде.


-2

Те саме тут Windows 7 Ultimate x64 (іспанська).

Я дізнався, що винуватець: C: \ Program Files (x86) \ Microsoft Office \ root \ Office16 \ officebackgroundtaskhandler.exe

Мабуть, це помилка Know.


Це, мабуть, не проблема, з якою стикається оригінальний плакат, проте коли я включив реєстрацію аудиту для процесів (як це запропонував Вернер Герце), виявилося, що це була проблема в моєму випадку. Станом на травень 2017 року це має бути зафіксовано у майбутньому оновлення Windows «найближчим часом». Якщо проблема не зникає після оновлення Windows (а ви вже з майбутнього), це, мабуть, не проблема.
користувач2711915
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.