มีบันทึก Windows บางส่วนที่มีความสัมพันธ์ของ PID กับกระบวนการทำงานหรือไม่
โดยค่าเริ่มต้นไม่มีบันทึกดังกล่าว อย่างไรก็ตามคุณสามารถเปิดใช้งานกระบวนการติดตามเหตุการณ์ในบันทึกเหตุการณ์ความปลอดภัยของ Windows
หมายเหตุ:
วิธีใช้เหตุการณ์การติดตามกระบวนการในบันทึกความปลอดภัยของ Windows
ใน Windows 2003 / XP คุณจะได้รับเหตุการณ์เหล่านี้เพียงแค่เปิดใช้งานนโยบายการตรวจสอบติดตามกระบวนการ
ใน Windows 7/2008 + คุณจะต้องเปิดใช้งานการสร้างกระบวนการตรวจสอบและเลือกที่หมวดย่อยการยกเลิกกระบวนการตรวจสอบซึ่งคุณจะพบภายใต้การกำหนดค่านโยบายการตรวจสอบขั้นสูงในวัตถุนโยบายกลุ่ม
เหตุการณ์เหล่านี้มีค่าอย่างไม่น่าเชื่อเพราะพวกเขาให้หลักฐานการตรวจสอบที่ครอบคลุมทุกครั้งที่ปฏิบัติการใด ๆ ในระบบเริ่มต้นเป็นกระบวนการ คุณสามารถกำหนดระยะเวลาที่กระบวนการทำงานโดยการเชื่อมโยงเหตุการณ์การสร้างกระบวนการกับเหตุการณ์การยกเลิกกระบวนการโดยใช้ ID กระบวนการที่พบในทั้งสองเหตุการณ์ ตัวอย่างของเหตุการณ์ทั้งสองจะแสดงด้านล่าง
แหล่งที่มาวิธีใช้เหตุการณ์การติดตามกระบวนการในบันทึกความปลอดภัยของ Windows
วิธีเปิดใช้งานการสร้างกระบวนการตรวจสอบ
เรียกใช้ gpedit.msc
เลือก "การตั้งค่า Windows"> "การตั้งค่าความปลอดภัย"> "นโยบายท้องถิ่น"> "นโยบายการตรวจสอบ"
คลิกขวาที่ "ตรวจสอบกระบวนการติดตาม" และเลือก "คุณสมบัติ"
ทำเครื่องหมายที่ "สำเร็จ" แล้วคลิก "ตกลง"
การติดตามกระบวนการตรวจสอบคืออะไร
การตั้งค่าความปลอดภัยนี้กำหนดว่าการตรวจสอบระบบปฏิบัติการของเหตุการณ์ที่เกี่ยวข้องกับกระบวนการเช่นการสร้างกระบวนการ, การยกเลิกกระบวนการ, จัดการการทำซ้ำและการเข้าถึงวัตถุทางอ้อม
หากมีการกำหนดการตั้งค่านโยบายนี้ผู้ดูแลระบบสามารถระบุได้ว่าจะตรวจสอบเฉพาะความสำเร็จเท่านั้นความล้มเหลวทั้งความสำเร็จและความล้มเหลวหรือไม่ตรวจสอบเหตุการณ์เหล่านี้เลย (เช่นไม่สำเร็จหรือล้มเหลว)
หากเปิดใช้งานการตรวจสอบความสำเร็จรายการตรวจสอบจะถูกสร้างขึ้นทุกครั้งที่ระบบปฏิบัติการดำเนินการหนึ่งในกิจกรรมที่เกี่ยวข้องกับกระบวนการเหล่านี้
หากเปิดใช้งานการตรวจสอบความล้มเหลวรายการตรวจสอบจะถูกสร้างขึ้นทุกครั้งที่ระบบปฏิบัติการล้มเหลวในการดำเนินการหนึ่งในกิจกรรมเหล่านี้
เริ่มต้น: ไม่มีการตรวจสอบ
สิ่งสำคัญ: เพื่อให้สามารถควบคุมนโยบายการตรวจสอบได้มากขึ้นให้ใช้การตั้งค่าในโหนดการกำหนดค่านโยบายการตรวจสอบขั้นสูง สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการกำหนดค่านโยบายการตรวจสอบขั้นสูงดู
http://go.microsoft.com/fwlink/?LinkId=140969