ฉันต้องได้รับประวัติของกระบวนการที่ทำงานบนเครื่อง Windows ของฉันและเมื่อพวกเขาทำงาน อย่างไรก็ตามฉันไม่สามารถใช้ซอฟต์แวร์บุคคลที่สามใด ๆ เนื่องจากฉันไม่สามารถรับประกันได้ว่าจะทำงานได้ตลอดเวลา
มีวิธีใดบ้างที่จะได้รับข้อมูลนี้โดยใช้ฟังก์ชั่น Windows ในตัวเท่านั้น?
คำตอบ:
แน่ใจ คุณสามารถใช้การบันทึกเหตุการณ์ในตัวของ Windows (สมมติว่าคุณไม่ได้อยู่ในรุ่นราคาถูกบางรุ่นที่ไม่มี)
ในบานหน้าต่างด้านซ้ายนำทางไปยัง
Policy \ Computer นโยบาย \ Settings \ Local นโยบาย \ Audit Settings \ Local นโยบาย \ Audit Configuration \ Local คอมพิวเตอร์
ในบานหน้าต่างด้านขวาคลิกสองครั้งที่ "การตรวจสอบกระบวนการติดตาม" และทำเครื่องหมายที่ช่องทั้งสอง
นับจากนี้ไปการสร้างสรรค์และการลบกระบวนการทั้งหมด (และความพยายามที่ล้มเหลวพร้อมกัน) จะปรากฏในบันทึกความปลอดภัย
หากต้องการดูให้เรียกใช้ตัวแสดงเหตุการณ์ (กดปุ่ม Windows และเริ่มพิมพ์ "Event Viewer") ในบานหน้าต่างด้านซ้ายให้ขยายทรีย่อย "บันทึกของ Windows" และคลิก "ความปลอดภัย" กิจกรรมความปลอดภัยทั้งหมดจะปรากฏขึ้น
ในบานหน้าต่างด้านขวาคุณสามารถตั้งค่าตัวกรองเพื่อค้นหา ID เหตุการณ์เช่น 4688 หรือ 4689 หรือเกณฑ์อื่น ๆ ที่สนับสนุน
คุณอาจพิจารณาที่จะไม่เปิดใช้งานการบันทึกความล้มเหลวเนื่องจากคุณกำลังมองหา "สิ่งที่ทำงานและเมื่อ" และหากการสร้างกระบวนการล้มเหลวก็ไม่มีอะไรทำงานได้ ... แต่นั่นก็ขึ้นอยู่กับคุณแล้ว
คุณไม่ได้ จำกัด เพียงแค่อ่านบันทึกเหตุการณ์บนหน้าจอของคุณเช่นกัน Windows "งานที่กำหนดเวลา" สามารถถูกเรียกใช้โดยรายการบันทึกเหตุการณ์ที่ตรงกับเกณฑ์ที่คุณระบุ คุณยังสามารถอ่านบันทึกเหตุการณ์ด้วยสคริปต์ PowerShell (หรือแน่นอนกับโปรแกรมทั่วไป) และทำสิ่งต่าง ๆ ตามสิ่งที่คุณค้นหา
NB: คำตอบของ David Postill ให้รายละเอียดเพิ่มเติมเกี่ยวกับรหัสเหตุการณ์บางอย่าง ฯลฯ อย่าเพิกเฉย!
โดยค่าเริ่มต้นไม่มีประวัติดังกล่าวและมันไม่ได้ถูกบันทึกไว้ที่ใดก็ได้
อย่างไรก็ตามคุณสามารถเปิดใช้งานกระบวนการติดตามเหตุการณ์ในบันทึกเหตุการณ์ความปลอดภัยของ Windows
สิ่งนี้จะให้ข้อมูลที่คุณต้องการ
หมายเหตุ:
gpeditการแก้ปัญหาต้องมีการเปลี่ยนแปลงนโยบายกลุ่มโดยใช้
น่าเสียดายที่ตัวแก้ไขนโยบายกลุ่ม (gpedit) ไม่ได้รวมอยู่ใน Starter Edition รุ่น Home และ Home Premium ของ Windows
ดูคำถามที่ถามบ่อย Windows Starter Edition, Home and Home Premium ไม่มี gpedit ฉันจะติดตั้งได้อย่างไร สำหรับคำแนะนำในการติดตั้ง
ใน Windows 2003 / XP คุณจะได้รับเหตุการณ์เหล่านี้เพียงแค่เปิดใช้งานนโยบายการตรวจสอบติดตามกระบวนการ
ใน Windows 7/2008 + คุณจะต้องเปิดใช้งานการสร้างกระบวนการตรวจสอบและเลือกที่หมวดย่อยการยกเลิกกระบวนการตรวจสอบซึ่งคุณจะพบภายใต้การกำหนดค่านโยบายการตรวจสอบขั้นสูงในวัตถุนโยบายกลุ่ม
เหตุการณ์เหล่านี้มีค่าอย่างไม่น่าเชื่อเพราะพวกเขาให้หลักฐานการตรวจสอบที่ครอบคลุมทุกครั้งที่ปฏิบัติการใด ๆ ในระบบเริ่มต้นเป็นกระบวนการ คุณสามารถกำหนดระยะเวลาที่กระบวนการทำงานโดยการเชื่อมโยงเหตุการณ์การสร้างกระบวนการกับเหตุการณ์การยกเลิกกระบวนการโดยใช้ ID กระบวนการที่พบในทั้งสองเหตุการณ์ ตัวอย่างของเหตุการณ์ทั้งสองจะแสดงด้านล่าง
แหล่งที่มาวิธีใช้เหตุการณ์การติดตามกระบวนการในบันทึกความปลอดภัยของ Windows
เรียกใช้ gpedit.msc
เลือก "การตั้งค่า Windows"> "การตั้งค่าความปลอดภัย"> "นโยบายท้องถิ่น"> "นโยบายการตรวจสอบ"
คลิกขวาที่ "ตรวจสอบกระบวนการติดตาม" และเลือก "คุณสมบัติ"
ทำเครื่องหมายที่ "สำเร็จ" แล้วคลิก "ตกลง"
การตั้งค่าความปลอดภัยนี้กำหนดว่าการตรวจสอบระบบปฏิบัติการของเหตุการณ์ที่เกี่ยวข้องกับกระบวนการเช่นการสร้างกระบวนการ, การยกเลิกกระบวนการ, จัดการการทำซ้ำและการเข้าถึงวัตถุทางอ้อม
หากมีการกำหนดการตั้งค่านโยบายนี้ผู้ดูแลระบบสามารถระบุได้ว่าจะตรวจสอบเฉพาะความสำเร็จเท่านั้นความล้มเหลวทั้งความสำเร็จและความล้มเหลวหรือไม่ตรวจสอบเหตุการณ์เหล่านี้เลย (เช่นไม่สำเร็จหรือล้มเหลว)
หากเปิดใช้งานการตรวจสอบความสำเร็จรายการตรวจสอบจะถูกสร้างขึ้นทุกครั้งที่ระบบปฏิบัติการดำเนินการหนึ่งในกิจกรรมที่เกี่ยวข้องกับกระบวนการเหล่านี้
หากเปิดใช้งานการตรวจสอบความล้มเหลวรายการตรวจสอบจะถูกสร้างขึ้นทุกครั้งที่ระบบปฏิบัติการล้มเหลวในการดำเนินการหนึ่งในกิจกรรมเหล่านี้
เริ่มต้น: ไม่มีการตรวจสอบ
สิ่งสำคัญ: เพื่อให้สามารถควบคุมนโยบายการตรวจสอบได้มากขึ้นให้ใช้การตั้งค่าในโหนดการกำหนดค่านโยบายการตรวจสอบขั้นสูง สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการกำหนดค่านโยบายการตรวจสอบขั้นสูงดู http://go.microsoft.com/fwlink/?LinkId=140969
