Чи є деякі журнали Windows, що містять асоціацію PID з запущеним процесом
За замовчуванням таких журналів немає. Однак ви можете ввімкнути події відстеження процесів у Журналі подій безпеки Windows.
Примітки:
Як використовувати події відстеження процесів у журналі безпеки Windows
У Windows 2003 / XP ви отримуєте ці події, просто включивши політику аудиту відстеження процесів.
У Windows 7/2008 + вам потрібно ввімкнути створення процесу аудиту та, за бажанням, підкатегорії завершення процесу аудиту, які ви знайдете в розділі Розширена конфігурація політики аудиту в об'єктах групової політики.
Ці події є надзвичайно цінними, тому що вони дають вичерпний аудиторський слід щоразу, коли будь-який виконуваний у системі запускається як процес. Ви навіть можете визначити, як довго триває процес, пов'язуючи подію створення процесу з подією завершення процесу, використовуючи ідентифікатор процесу, знайдений в обох подіях. Приклади обох подій наведені нижче.
Джерело Як використовувати події відстеження процесів у журналі безпеки Windows
Як включити створення процесу аудиту
Запустіть gpedit.msc
Виберіть "Налаштування Windows"> "Налаштування безпеки"> "Місцева політика"> "Аудиторська політика"
Клацніть правою кнопкою миші "Відстеження процесу відстеження" та виберіть "Властивості"
Поставте прапорець "Успіх" і натисніть "ОК"
Що таке відстеження процесів аудиту
Цей параметр безпеки визначає, чи перевіряє ОС оперативні події, такі як створення процесу, припинення процесу, дублювання та непрямий доступ до об'єктів.
Якщо цей параметр політики визначений, адміністратор може вказати, чи слід перевіряти лише успіхи, лише невдачі, і успіхи, і невдачі, чи взагалі не перевіряти ці події (тобто, ні успіхи, ні збої).
Якщо ввімкнено аудит успіху, запис аудиту створюється кожного разу, коли ОС виконує одну з цих процедур.
Якщо ввімкнено аудит відмов, запис аудиту створюється кожного разу, коли ОС не виконує одну з цих дій.
За замовчуванням: немає аудиту
Важливо: Для більшого контролю над правилами аудиту використовуйте параметри у вузлі розширеної конфігурації політики аудиту. Щоб отримати докладнішу інформацію про розширену конфігурацію політики аудиту, див.
Http://go.microsoft.com/fwlink/?LinkId=140969 .