Як визначити припинений процес Windows, якщо я все ще маю його PID?


14

Передумови: У середині моєї роботи несподівано з’явилася ліцензійна угода на встановлення «Центру миші та клавіатури Microsoft». Я хотів би зрозуміти, який процес запустив налаштування, але, використовуючи Process Explorer, я побачив, що він пропав, мені вдалося знайти лише його PID (див. Скріншот).

Питання:

Якщо ви використовуєте Process Explorer , можливо, ви знаєте ситуацію, коли батьківський процес цього процесу більше не існує, і ви можете бачити лише його PID:

введіть тут опис зображення

Чи є деякі журнали Windows, що містять асоціацію PID з запущеним процесом, щоб я міг дізнатися, який процес виконувався під заданим PID?

Переважно мене цікавлять сценарії, де я цього не очікував, тому я не використовував Монітор процесів для зйомки подій у системі.

Відповіді:


11

Чи є деякі журнали Windows, що містять асоціацію PID з запущеним процесом

За замовчуванням таких журналів немає. Однак ви можете ввімкнути події відстеження процесів у Журналі подій безпеки Windows.

Примітки:


Як використовувати події відстеження процесів у журналі безпеки Windows

У Windows 2003 / XP ви отримуєте ці події, просто включивши політику аудиту відстеження процесів.

У Windows 7/2008 + вам потрібно ввімкнути створення процесу аудиту та, за бажанням, підкатегорії завершення процесу аудиту, які ви знайдете в розділі Розширена конфігурація політики аудиту в об'єктах групової політики.

Ці події є надзвичайно цінними, тому що вони дають вичерпний аудиторський слід щоразу, коли будь-який виконуваний у системі запускається як процес. Ви навіть можете визначити, як довго триває процес, пов'язуючи подію створення процесу з подією завершення процесу, використовуючи ідентифікатор процесу, знайдений в обох подіях. Приклади обох подій наведені нижче.

введіть тут опис зображення

Джерело Як використовувати події відстеження процесів у журналі безпеки Windows


Як включити створення процесу аудиту

  1. Запустіть gpedit.msc

  2. Виберіть "Налаштування Windows"> "Налаштування безпеки"> "Місцева політика"> "Аудиторська політика"

    введіть тут опис зображення

  3. Клацніть правою кнопкою миші "Відстеження процесу відстеження" та виберіть "Властивості"

  4. Поставте прапорець "Успіх" і натисніть "ОК"

    введіть тут опис зображення


Що таке відстеження процесів аудиту

Цей параметр безпеки визначає, чи перевіряє ОС оперативні події, такі як створення процесу, припинення процесу, дублювання та непрямий доступ до об'єктів.

Якщо цей параметр політики визначений, адміністратор може вказати, чи слід перевіряти лише успіхи, лише невдачі, і успіхи, і невдачі, чи взагалі не перевіряти ці події (тобто, ні успіхи, ні збої).

Якщо ввімкнено аудит успіху, запис аудиту створюється кожного разу, коли ОС виконує одну з цих процедур.

Якщо ввімкнено аудит відмов, запис аудиту створюється кожного разу, коли ОС не виконує одну з цих дій.

За замовчуванням: немає аудиту

Важливо: Для більшого контролю над правилами аудиту використовуйте параметри у вузлі розширеної конфігурації політики аудиту. Щоб отримати докладнішу інформацію про розширену конфігурацію політики аудиту, див. Http://go.microsoft.com/fwlink/?LinkId=140969 .


Дейв, можливо, ти міг би використати "найшвидший пістолет на заході" . Поки ви писали свою довгу і детальну відповідь, я виконував кроки в іншій відповіді (те саме, що ви додали пізніше) і збирався її прийняти. Тож тепер у мене є дилема, яку відповідь прийняти ... :)
miroxlav

1
Я вважаю за краще найкращу відповідь, ніж першу відповідь;) Якщо вони однакові, то це бонус. Я повідомив вам (у коментарі, що зараз очищений), що готую свою відповідь. І я використовую повільний зв’язаний Інтернет через свій мобільний: /
DavidPostill

О так, ти зробив. OTOH, можливо, не соромтеся написати "ви можете ввімкнути реєстрацію аудиту в локальній політиці", опублікувати та продовжувати створювати відповіді з освітнім значенням. Іноді навіть невелика підказка може краще допомогти мені (ОП), ніж чекати 60 хвилин на чудову відповідь :) Я маю на увазі, я знаю, де місцева політика, мені просто потрібна була незначна підказка.
miroxlav

@DavidPostill: Було б добре, якщо ви могли б згадати, як часто такі журнали чистяться (або як часто їх слід очищати вручну), тому що я думаю, що вони можуть отримати досить довго ...
user541686

1
@Mehrdad Журнали подій при необхідності можна видалити з командного рядка за допомогою wevtutil. Це простіше, ніж використовувати графічний інтерфейс переглядача подій.
DavidPostill

3

Єдиний спосіб переконатися в тому, що у вас повинен бути включений аудит для відстеження створення процесів.

У програмі "Місцева політика безпеки" (введіть secpol.mscна екрані запуску, якщо у вас виникають проблеми з її пошуку), перейдіть до "Налаштування безпеки -> Локальні поліси -> Політика аудиту", а потім увімкніть "Відстеження процесу аудиту" для "Успіх".

введіть тут опис зображення

Як тільки ви це зробите, перейдіть до переглядача подій і перевірте журнал подій "Безпечність", там ви побачите записи "Аудит успіху" кожного разу, коли процес починається чи закінчується.

Процес завершився.

Тема:
    Ідентифікатор безпеки: СИСТЕМА
    Назва рахунку: SCOTT-PC $
    Домен облікового запису: WORKGROUP
    Ідентифікатор входу: 0x3E7

Інформація про процес:
    Ідентифікатор процесу: 0x1338
    Назва процесу: C: \ Windows \ System32 \ съглас.exe
    Стан виходу: 0x0

Вам потрібно буде конвертувати ідентифікатор процесу, який ви шукаєте, з десяткової в шестигранну (3336 стає 0xD08). Найпростіший спосіб перетворення - це відкритий калькулятор Windows, перейдіть в режим «Програміст», введіть число в режимі «дек», потім натисніть на «шестигранний» режим. Показане число для вас буде перетворено у шістнадцять.


Так, така відповідь я очікував. Простіше сказати: увімкніть деякий журнал і таким чином зможете перевірити його результати.
miroxlav

0

Якщо це разова річ, і ви не хочете постійно реєструвати свої процеси, я б запропонував використовувати Microsoft Process Monitor ( https://technet.microsoft.com/en-us/Library/bb896645.aspx ). Її потрібно запускати до породження популярного, але навіть після того, як батьківський процес помер, він захопить всю інформацію, яку ви шукали.

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.