タスクマネージャーは実行中のプログラムを表示します-終了したプログラムを表示するにはどうすればよいですか？

タスクマネージャーが表示できない程度に停止している場合でも、コンピューターで実行されているプログラムを確認するにはどうすればよいですか？

私は自分のコンピューターを単独で使用せず、時々疑わしい。

停止したプログラムが実行されているかどうかを調べる方法

デフォルトでは、実行されたプログラムのログはありません。

ただし、Windowsセキュリティイベントログでプロセス追跡イベントを有効にすることができ（手順については以下を参照）、この情報は将来利用できるようになります。

プロセストラッキングイベントを有効にすると、次のPowershellコマンドを使用してイベントを調べることができます。

プロセス開始：

Get-EventLog Security | Where-Object {$_.EventID -eq 4688} | Format-List

プロセス停止：

Get-EventLog Security | Where-Object {$_.EventID -eq 4689} | Format-List

上記のコマンドは、イベント情報を画面にダンプします。

Windowsセキュリティログでプロセストラッキングイベントを使用する方法

Windows 2003 / XPでは、プロセス追跡監査ポリシーを有効にするだけでこれらのイベントを取得できます。

Windows 7/2008 +では、監査プロセスの作成を有効にする必要があります。オプションで、グループポリシーオブジェクトの高度な監査ポリシーの構成の下にある監査プロセス終了サブカテゴリを有効にする必要があります。

これらのイベントは、システム上の実行可能ファイルがプロセスとして開始されるたびに包括的な監査証跡を提供するため、非常に貴重です。両方のイベントにあるプロセスIDを使用して、プロセス作成イベントをプロセス終了イベントにリンクすることにより、プロセスの実行時間を決定することもできます。両方のイベントの例を以下に示します。

ソースWindowsセキュリティログでプロセス追跡イベントを使用する方法

監査プロセスの作成を有効にする方法

1. gpedit.mscを実行します

   • 注：残念ながら、グループポリシーエディターは、WindowsのStarter Edition、Home、Home Premiumエディションには含まれていません。
   • 回答を参照してくださいgpedit.mscをWindows Starter Edition、Home、Home Premiumにインストールするにはどうすればよいですか？インストール手順。

2. [Windowsの設定]> [セキュリティの設定]> [ローカルポリシー]> [監査ポリシー]を選択します

   

3. 「プロセス追跡の監査」を右クリックして、「プロパティ」を選択します

4. 「成功」をチェックして「OK」をクリックします

   

監査プロセスの追跡とは

このセキュリティ設定は、OSがプロセスの作成、プロセスの終了、ハンドルの複製、間接的なオブジェクトアクセスなどのプロセス関連のイベントを監査するかどうかを決定します。

このポリシー設定が定義されている場合、管理者は、成功のみ、失敗のみ、成功と失敗の両方を監査するか、これらのイベントをまったく監査しない（つまり、成功も失敗もしない）かを指定できます。

成功の監査が有効になっている場合、OSがこれらのプロセス関連アクティビティのいずれかを実行するたびに監査エントリが生成されます。

失敗の監査が有効になっている場合、OSがこれらのアクティビティのいずれかを実行できないたびに、監査エントリが生成されます。

デフォルト：監査なし

重要：監査ポリシーをさらに制御するには、[監査ポリシーの詳細構成]ノードの設定を使用します。高度な監査ポリシーの構成の詳細については、http：//go.microsoft.com/fwlink/？LinkId = 140969を参照して ください。

NirsoftのExecutedProgramListはどうですか？それを使用できますか？

ExecutedProgramListは、実行されたプログラムの完全なリストを提供しません。

たとえば、サムドライブから現在実行しているポータブルプログラム（Agent、Notepad ++、GSNotesなど）、および前回の再起動以降に実行したほとんどすべてのCygwinプログラムは表示されません。

リンクに記載されている場所に何も書き込まないプログラムはリストされません。

以前に実行されたプログラムのリストは、次のデータソースから収集されます。

• レジストリキー： HKEY_CURRENT_USER\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache
• レジストリキー： HKEY_CURRENT_USER\Microsoft\Windows\ShellNoRoam\MUICache
• レジストリキー： HKEY_CURRENT_USER\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted
• レジストリキー： HKEY_CURRENT_USER\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store
• Windows Prefetchフォルダー（C：\ Windows \ Prefetch）

ソースExecutedProgramList

参考文献

• Windowsセキュリティログ百科事典
• PowerShellを使用してセキュリティログのオフライン分析を実行する
• Get-Eventlogコマンドレットの使用
• PowerShell Cmdletを使用して簡単に解析できるようにイベントログをフィルター処理する
• PowerShellを使用した簡単なイベントログクエリ

Nirsoftは、小型、無料のアプリケーション、持っているExecutedProgramListを、ショーあなたのシステム上で実行されるプログラムやバッチファイルのリストという。Windows固有の制限により、アプリケーションが最後に起動した時刻を常に表示できるとは限らないことに注意してください。@ DavidPostillが述べたように、ポータブルアプリを見逃す可能性があります。

Windowsから情報を取得するため、リストをコンパイルするために実行する必要はありません。

プロセス履歴もこれを行います。これは、無料で移植可能なプロセスデータベースです。

シンプルなポータブル.zipダウンロードです。ダウンロードサイトには、ビデオでの使用方法に関するマニュアルがあります。

プロセス履歴が実行されている限り、別のGUIを介して終了したプロセスを照会できます。

XPからWindowsのすべてのバージョンで実行されます。

（私はこのオープンソースソフトウェアの著者です。）