Чи проводяться / викликаються програми журналів Windows?

36

Чи є в Windows журнал, який записує, які програми запускалися / викликались?

Під час перегляду Інтернету, перегляду статичної сторінки без реклами, натискань миші, натискання клавіші чи інших плагінів / аддонів / скриптів, я просто побачив, як спонтанна консоль CMD.exe відкривається, а потім негайно закривається спалахом, досить швидко, що я не зміг нічого побачити у вікні - і без явного спрацьовування з мого боку.

Мені цікаво, чи є якийсь тип журналу Windows, який показує, які програми були запущені / викликані / активовані? Я хотів би побачити, що відбувається за лаштунками, коли це вікно консолі спалахнуло, і, сподіваюся, визначу, що це не щось негідне.

Для довідки, я запускаю Windows 7 Ultimate x64.

— Coldblackice
джерело

Це було під час запуску чи ви щось встановлювали?

— Ян Догген

Я просто переглядав Інтернет - і навіть не активно. Я читав уже завантажену статичну веб-сторінку, не натискаючи клавіш, клавіш чи запитів. Я зараз редагую це питання, щоб його вдосконалити, тому що я справді запитую, чи є якийсь тип журналу запуску / ініціацій програми, а саме - командного рядка.

— Coldblackice

Спробуйте побачити у переглядачі подій Windows.

— stderr

@JanDoggen Це було посеред дня, ніде не було жодних стартапів, відключень, перезавантажень чи установок. Я щойно читав у своєму браузері на вже завантаженій сторінці, з усіма спливаючими вікнами / оголошеннями / сценаріями вимкнено, не перевіряючи / оновляючи віруси. Крім того, я міг бачити, що це вікно командного рядка блимало, а потім зникало.

— Coldblackice

1

Щойно зіткнувшись із подібною проблемою і натрапивши на своє запитання, ви дізналися, що це було?

— дядько Лем

29

Ви не зможете перевірити, що вибігли, але можете підготуватися до наступного разу. Якщо ви відкриєте secpol.msc, можете перейти до local policies/audit policy. Увімкніть Success(і, можливо, також Failure), Audit process trackingі ви отримаєте запис журналу подій у журналі подій безпеки кожного разу, коли процес починається чи закінчується. На жаль, ви побачите процес, який запускався, але не командний рядок, з якого він був запущений.

Якщо ви активуєте аудит, може скластись багато журналів, тому слід налаштувати розмір журналу подій безпеки.

Ви можете отримати доступ до журналів за eventvwr.mscдопомогою протоколів Windows, безпеки.

— Вернер Гензе
джерело

Якщо я не бачу командного рядка, то що я побачу?

— Дімс

@Dims Якщо "notepad myfile.txt" було запущено, ви побачите "блокнот", але не "myfile.txt".

— Вернер Генце

@WernerHenze, все-таки зробити це на домашньому комп’ютері? ... Windows не вдається знайтиsecpol.msc

— Pacerier

@Pacerier Яка версія / видання Windows?

— Вернер Гензе

де розташовані колоди?

— tisaconundrum

10

Марк Русинович Sysinternals Process Monitor робить це. Серед доступу до файлів / рег / мережевих доступу, він може відстежувати термін служби proc / thread і дозволяє багато фільтрувати.

— Вал
джерело

1

Чи довелося б це запускати, щоб зафіксувати процес, який відкрився? Або він здатний повідомляти про життя потоку незалежно від відстеження Прокмона?

— Coldblackice

Що "це" не залежить від пмону? Ви маєте на увазі моніторинг без монітора? Як ти це уявляєш?

— Валь

1

Що я мав на увазі - чи потрібно, щоб монітор процесів працював, щоб відстежувати тривалість життя proc / thread, чи це глобально зберігається незалежно від монітора процесів?

— Coldblackice

2

Монітор процесів - це те, що він говорить - монітор. Це не переглядач журналів Windows. Він вводить деякі драйвери в основні функції Windows і реєструє дзвінки himslef. Ви не можете контролювати без монітора. Добре?

— Валь

1

На жаль, я переплутав Монітор процесу з Провідником процесорів - Провідник процесів може бачити час запуску / запуску процесу без активності (моніторинг) під час першого запуску відповідної програми. Я думав, що це про Explorer Explorer. Спасибі.

— Coldblackice

2

Можливо, це було запущене планове завдання. Перевірте планувальник завдань на наявність завдань.

Ви також можете перевірити переглядач подій на що-небудь, хоча, ймовірно, нічого не буде.

-2

Те саме тут Windows 7 Ultimate x64 (іспанська).

Я дізнався, що винуватець: C: \ Program Files (x86) \ Microsoft Office \ root \ Office16 \ officebackgroundtaskhandler.exe

Мабуть, це помилка Know.

— Хорхе Рамірес
джерело

Це, мабуть, не проблема, з якою стикається оригінальний плакат, проте коли я включив реєстрацію аудиту для процесів (як це запропонував Вернер Герце), виявилося, що це була проблема в моєму випадку. Станом на травень 2017 року це має бути зафіксовано у майбутньому оновлення Windows «найближчим часом». Якщо проблема не зникає після оновлення Windows (а ви вже з майбутнього), це, мабуть, не проблема.

— користувач2711915