ฉันจะทราบได้อย่างไรว่าโปรแกรมใดบ้างที่ทำงานอยู่เมื่อหยุดทำงาน
โดยค่าเริ่มต้นจะไม่มีการบันทึกว่าโปรแกรมใดถูกใช้งาน
อย่างไรก็ตามคุณสามารถเปิดใช้งาน งานกิจกรรมการติดตามกระบวนการในบันทึกเหตุการณ์ความปลอดภัยของ Windows (ดูคำแนะนำด้านล่าง) และข้อมูลนี้จะพร้อมใช้งานสำหรับคุณในอนาคต
เมื่อเปิดใช้งานกิจกรรมการติดตามกระบวนการคุณสามารถใช้คำสั่ง Powershell ต่อไปนี้เพื่อตรวจสอบเหตุการณ์:
กระบวนการเริ่มต้น:
Get-EventLog Security | Where-Object {$_.EventID -eq 4688} | Format-List
หยุดกระบวนการ:
Get-EventLog Security | Where-Object {$_.EventID -eq 4689} | Format-List
คำสั่งข้างต้นถ่ายโอนข้อมูลเหตุการณ์ไปที่หน้าจอ
วิธีใช้เหตุการณ์การติดตามกระบวนการในบันทึกความปลอดภัยของ Windows
ใน Windows 2003 / XP คุณจะได้รับเหตุการณ์เหล่านี้เพียงแค่เปิดใช้งานนโยบายการตรวจสอบติดตามกระบวนการ
ใน Windows 7/2008 + คุณจะต้องเปิดใช้งานการสร้างกระบวนการตรวจสอบและเลือกที่หมวดย่อยการยกเลิกกระบวนการตรวจสอบซึ่งคุณจะพบภายใต้การกำหนดค่านโยบายการตรวจสอบขั้นสูงในวัตถุนโยบายกลุ่ม
เหตุการณ์เหล่านี้มีคุณค่าอย่างไม่น่าเชื่อเพราะพวกเขาให้ตรวจสอบเส้นทางที่ครอบคลุมของทุกครั้งที่ปฏิบัติการใด ๆ ในระบบจะเริ่มต้นเป็นกระบวนการ คุณสามารถกำหนดระยะเวลาที่กระบวนการทำงานโดยการเชื่อมโยงเหตุการณ์การสร้างกระบวนการกับเหตุการณ์การยกเลิกกระบวนการโดยใช้ ID กระบวนการที่พบในทั้งสองเหตุการณ์ ตัวอย่างของเหตุการณ์ทั้งสองจะแสดงด้านล่าง
แหล่งที่มาวิธีใช้เหตุการณ์การติดตามกระบวนการในบันทึกความปลอดภัยของ Windows
วิธีเปิดใช้งานการสร้างกระบวนการตรวจสอบ
เรียกใช้ gpedit.msc
เลือก "การตั้งค่า Windows"> "การตั้งค่าความปลอดภัย"> "นโยบายท้องถิ่น"> "นโยบายการตรวจสอบ"
คลิกขวาที่ "ตรวจสอบกระบวนการติดตาม" และเลือก "คุณสมบัติ"
ทำเครื่องหมายที่ "สำเร็จ" แล้วคลิก "ตกลง"
การติดตามกระบวนการตรวจสอบคืออะไร
การตั้งค่าความปลอดภัยนี้กำหนดว่าการตรวจสอบระบบปฏิบัติการของเหตุการณ์ที่เกี่ยวข้องกับกระบวนการเช่นการสร้างกระบวนการ, การยกเลิกกระบวนการ, จัดการการทำซ้ำและการเข้าถึงวัตถุทางอ้อม
หากมีการกำหนดการตั้งค่านโยบายนี้ผู้ดูแลระบบสามารถระบุได้ว่าจะตรวจสอบความสำเร็จเท่านั้นความล้มเหลวทั้งความสำเร็จและความล้มเหลวหรือไม่ตรวจสอบเหตุการณ์เหล่านี้เลย (เช่นไม่สำเร็จหรือล้มเหลว)
หากเปิดใช้งานการตรวจสอบความสำเร็จรายการตรวจสอบจะถูกสร้างขึ้นทุกครั้งที่ระบบปฏิบัติการดำเนินการหนึ่งในกิจกรรมที่เกี่ยวข้องกับกระบวนการเหล่านี้
หากเปิดใช้งานการตรวจสอบความล้มเหลวรายการตรวจสอบจะถูกสร้างขึ้นทุกครั้งที่ระบบปฏิบัติการล้มเหลวในการดำเนินการหนึ่งในกิจกรรมเหล่านี้
เริ่มต้น: ไม่มีการตรวจสอบ
สิ่งสำคัญ: เพื่อให้สามารถควบคุมนโยบายการตรวจสอบได้มากขึ้นให้ใช้การตั้งค่าในโหนดการกำหนดค่านโยบายการตรวจสอบขั้นสูง สอบถามข้อมูลเพิ่มเติมเกี่ยวกับการกำหนดค่านโยบายการตรวจสอบขั้นสูงดู
http://go.microsoft.com/fwlink/?LinkId=140969
สิ่งที่เกี่ยวกับ ExecutedProgramList จาก Nirsoft ฉันสามารถใช้มันได้หรือไม่
ExecutedProgramList ExecutedProgramListไม่ได้ให้รายการโปรแกรมที่ถูกดำเนินการทั้งหมด
ตัวอย่างเช่นมันไม่ได้แสดงรายการโปรแกรมพกพาใด ๆ ที่ฉันกำลังเรียกใช้จาก thumbdrive ของฉันเช่น Agent, Notepad ++, GSNotes รวมถึงโปรแกรม Cygwin เกือบทุกโปรแกรมที่ฉันเรียกใช้ตั้งแต่การรีสตาร์ทครั้งล่าสุด
มันจะไม่แสดงรายการโปรแกรมใด ๆ ที่ไม่ได้เขียนอะไรไปยังตำแหน่งที่ระบุไว้ในลิงค์:
รายการโปรแกรมที่ดำเนินการก่อนหน้านี้ถูกรวบรวมจากแหล่งข้อมูลต่อไปนี้:
- รหัสรีจิสทรี:
HKEY_CURRENT_USER\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache
- รหัสรีจิสทรี:
HKEY_CURRENT_USER\Microsoft\Windows\ShellNoRoam\MUICache
- รหัสรีจิสทรี:
HKEY_CURRENT_USER\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted
- รหัสรีจิสทรี:
HKEY_CURRENT_USER\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store
- โฟลเดอร์ Windows Prefetch (C: \ Windows \ Prefetch)
ซอร์สExecutedProgramList
อ่านเพิ่มเติม