Làm cách nào tôi có thể nhận được lịch sử các quy trình đang chạy [trùng lặp]

16

Tôi cần nhận được lịch sử các quy trình đã chạy trên máy Windows của mình và khi nào chúng được chạy. Tuy nhiên, tôi không thể sử dụng bất kỳ phần mềm của bên thứ ba nào, vì tôi không thể đảm bảo rằng nó sẽ luôn chạy.

Có cách nào để có được thông tin này chỉ bằng chức năng tích hợp sẵn của Windows không?

windows  history 
say sưa
nguồn

Câu trả lời:

21

Chắc chắn rồi. Bạn có thể sử dụng ghi nhật ký sự kiện tích hợp của Windows (giả sử bạn không có phiên bản giá rẻ nào không có).

  1. Nhấn Win+ Rvà nhập gpedit.msc để mở trình quản lý chính sách nhóm

  2. Trong khung bên trái, điều hướng đến

    Chính sách máy tính cục bộ \ Cấu hình máy tính \ Cài đặt Windows \ Cài đặt bảo mật \ Chính sách cục bộ \ Chính sách kiểm toán

  3. Trong ngăn bên phải, bấm đúp vào "Theo dõi quá trình kiểm toán" và chọn cả hai hộp

Từ giờ trở đi, tất cả các sáng tạo và xóa quá trình (và các lần thử thất bại cùng một lúc) sẽ xuất hiện trong Nhật ký bảo mật.

Để xem chúng, hãy chạy Event Viewer. (Nhấn phím Windows và bắt đầu nhập "Trình xem sự kiện".) Trong ngăn bên trái mở rộng cây con "Nhật ký Windows" và nhấp vào "Bảo mật". Tất cả các sự kiện bảo mật sẽ được hiển thị.

Trong khung bên phải, bạn có thể thiết lập Bộ lọc để tìm ID sự kiện như 4688 hoặc 4689 hoặc bất kỳ tiêu chí được hỗ trợ nào khác.

Bạn có thể cân nhắc việc không cho phép ghi nhật ký các lỗi do bạn đang tìm kiếm "cái gì đã chạy và khi nào" và nếu việc tạo quy trình thất bại, thì không có gì chạy cả ... nhưng điều đó tùy thuộc vào bạn.

Bạn cũng không bị giới hạn chỉ đọc nhật ký sự kiện trên màn hình. Windows "Tác vụ theo lịch trình" có thể được kích hoạt bởi các mục nhật ký sự kiện phù hợp với tiêu chí bạn chỉ định. Bạn cũng có thể đọc nhật ký sự kiện bằng tập lệnh PowerShell (hoặc, tất nhiên, với một chương trình thông thường) và thực hiện các công việc dựa trên những gì bạn tìm thấy.

Lưu ý: Câu trả lời của David Postill cung cấp thêm chi tiết về một số mã sự kiện, v.v. Đừng bỏ qua nó!

Jamie Hanrahan
nguồn
Nếu tôi không có "gpedit.msc" thì sao?
nhà phát triển Android
Bạn đang ở phiên bản Home?
Jamie Hanrahan
Đúng. Tôi đang ở phiên bản nhà. Có lẽ có một ứng dụng để làm điều đó?
nhà phát triển Android
1
Tôi tìm thấy cái này, nó cung cấp một tập lệnh .bat để tải xuống. Nó không giống bất cứ thứ gì có hại. Bạn sẽ phải chạy nó từ một dấu nhắc lệnh nâng cao. (tức là chạy cmd.exe với tư cách Quản trị viên) Có một số báo cáo về thành công và một số thất bại ... chúc may mắn. itechtics.com/ từ
Jamie Hanrahan
Ồ Không biết điều này là có thể. Cảm ơn bạn. Nó hoạt động
nhà phát triển Android
12

Làm thế nào tôi có thể có được một lịch sử của các quá trình đang chạy

Theo mặc định không có lịch sử như vậy và nó không được ghi lại ở bất cứ đâu.

Tuy nhiên, bạn có thể bật Sự kiện theo dõi quá trình trong Nhật ký sự kiện bảo mật của Windows.

Điều này sẽ cung cấp cho bạn thông tin bạn yêu cầu.

Ghi chú:

Cách sử dụng các sự kiện theo dõi quá trình trong Nhật ký bảo mật của Windows

Trong Windows 2003 / XP, bạn có được các sự kiện này bằng cách kích hoạt chính sách kiểm toán Theo dõi tiến trình.

Trong Windows 7/2008 +, bạn cần kích hoạt Tạo quy trình kiểm toán và, tùy chọn, các danh mục con Chấm dứt quá trình kiểm toán mà bạn sẽ tìm thấy trong Cấu hình chính sách kiểm toán nâng cao trong các đối tượng chính sách nhóm.

Những sự kiện này có giá trị vô cùng vì chúng đưa ra một lộ trình kiểm toán toàn diện mỗi khi bất kỳ sự thực thi nào trên hệ thống được bắt đầu như một quá trình. Bạn thậm chí có thể xác định quá trình chạy trong bao lâu bằng cách liên kết sự kiện tạo quy trình với sự kiện chấm dứt quy trình bằng ID tiến trình được tìm thấy trong cả hai sự kiện. Ví dụ về cả hai sự kiện được hiển thị dưới đây.

nhập mô tả hình ảnh ở đây

Nguồn Cách sử dụng các sự kiện theo dõi quá trình trong Nhật ký bảo mật của Windows

Cách bật Tạo quy trình kiểm toán

  1. Chạy gpedit.msc

  2. Chọn "Cài đặt Windows"> "Cài đặt bảo mật"> "Chính sách cục bộ"> "Chính sách kiểm toán"

    nhập mô tả hình ảnh ở đây

  3. Nhấp chuột phải vào "Theo dõi quá trình kiểm toán" và chọn "Thuộc tính"

  4. Kiểm tra "Thành công" và nhấp vào "OK"

    nhập mô tả hình ảnh ở đây

Theo dõi quá trình kiểm toán là gì

Cài đặt bảo mật này xác định xem HĐH có kiểm tra các sự kiện liên quan đến quy trình như tạo quy trình, chấm dứt quy trình, xử lý sao chép và truy cập đối tượng gián tiếp hay không.

Nếu cài đặt chính sách này được xác định, quản trị viên có thể chỉ định xem chỉ kiểm tra thành công, chỉ thất bại, cả thành công và thất bại hay không kiểm toán tất cả các sự kiện này (nghĩa là không thành công cũng không thất bại).

Nếu kiểm toán thành công được bật, một mục kiểm toán được tạo ra mỗi khi HĐH thực hiện một trong các hoạt động liên quan đến quy trình này.

Nếu kiểm tra Thất bại được bật, một mục kiểm toán được tạo ra mỗi khi HĐH không thực hiện một trong các hoạt động này.

Mặc định: Không kiểm toán

Quan trọng: Để kiểm soát nhiều hơn đối với các chính sách kiểm toán, hãy sử dụng các cài đặt trong nút Cấu hình chính sách kiểm toán nâng cao. Để biết thêm thông tin về Cấu hình chính sách kiểm toán nâng cao, hãy xem http://go.microsoft.com/fwlink/?LinkId=140969 .

Đọc thêm

DavidPostill
nguồn
David, tại sao bạn lại đăng lại các phần của câu trả lời của riêng bạn , thay vì đóng câu hỏi dưới dạng trùng lặp?
Dmitry Grigoryev
1
@DmitryGrigoryev Tôi thực sự đang đăng lại các phần của Làm thế nào để xác định quá trình Windows bị chấm dứt nếu tôi vẫn còn bị PID? đó không phải là một bản sao của câu hỏi này Tôi đã đánh dấu cái này là một bản dupe;)
DavidPostill
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.