Có một số nhật ký Windows có chứa liên kết của PID với quá trình đang chạy không
Theo mặc định không có nhật ký như vậy. Tuy nhiên, bạn có thể bật Sự kiện theo dõi quá trình trong Nhật ký sự kiện bảo mật của Windows.
Ghi chú:
Cách sử dụng các sự kiện theo dõi quá trình trong Nhật ký bảo mật của Windows
Trong Windows 2003 / XP, bạn có được các sự kiện này bằng cách kích hoạt chính sách kiểm toán Theo dõi tiến trình.
Trong Windows 7/2008 +, bạn cần kích hoạt Tạo quy trình kiểm toán và, tùy chọn, các danh mục con Chấm dứt quá trình kiểm toán mà bạn sẽ tìm thấy trong Cấu hình chính sách kiểm toán nâng cao trong các đối tượng chính sách nhóm.
Những sự kiện này có giá trị vô cùng vì chúng đưa ra một lộ trình kiểm toán toàn diện mỗi khi bất kỳ sự thực thi nào trên hệ thống được bắt đầu như một quá trình. Bạn thậm chí có thể xác định quá trình chạy trong bao lâu bằng cách liên kết sự kiện tạo quy trình với sự kiện chấm dứt quy trình bằng ID tiến trình được tìm thấy trong cả hai sự kiện. Ví dụ về cả hai sự kiện được hiển thị dưới đây.
Nguồn Cách sử dụng các sự kiện theo dõi quá trình trong Nhật ký bảo mật của Windows
Cách bật Tạo quy trình kiểm toán
Chạy gpedit.msc
Chọn "Cài đặt Windows" & gt; "Cài đặt bảo mật" & gt; "Chính sách địa phương" & gt; "Chính sách kiểm toán"
Nhấp chuột phải vào "Theo dõi quá trình kiểm toán" và chọn "Thuộc tính"
Kiểm tra "Thành công" và nhấp vào "OK"
Theo dõi quá trình kiểm toán là gì
Cài đặt bảo mật này xác định xem hệ điều hành có kiểm tra liên quan đến quá trình không
các sự kiện như tạo quy trình, chấm dứt quá trình, xử lý
trùng lặp, và truy cập đối tượng gián tiếp.
Nếu cài đặt chính sách này được xác định, quản trị viên có thể chỉ định
chỉ kiểm toán thành công, chỉ thất bại, cả thành công và
thất bại hoặc hoàn toàn không kiểm toán các sự kiện này (nghĩa là không thành công
cũng không thất bại).
Nếu kiểm toán thành công được bật, một mục kiểm toán được tạo ra mỗi lần
HĐH thực hiện một trong những hoạt động liên quan đến quá trình này.
Nếu kiểm tra Thất bại được bật, một mục kiểm toán được tạo ra mỗi lần
HĐH không thực hiện được một trong các hoạt động này.
Mặc định: Không kiểm toán
Quan trọng: Để kiểm soát nhiều hơn đối với chính sách kiểm toán, hãy sử dụng cài đặt
trong nút Cấu hình chính sách kiểm toán nâng cao. Để biết thêm thông tin
về Cấu hình chính sách kiểm toán nâng cao, xem http://go.microsoft.com/fwlink/?LinkId=140969 .