実行中のプロセスの履歴を取得するにはどうすればよいですか[複製]

16

Windowsマシンでどのプロセスが実行されたか、いつ実行されたかの履歴を取得する必要があります。ただし、サードパーティのソフトウェアが常に実行されることを保証できないため、サードパーティのソフトウェアは使用できません。

Windowsの組み込み機能を使用してのみこの情報を取得する方法はありますか?

windows  history 
ジー
ソース

回答:

21

承知しました。Windowsに組み込まれているイベントロギングを使用できます(安価なエディションを使用していない場合)。

  1. Win+ Rを押してgpedit.mscと入力し、グループポリシーマネージャーを開きます

  2. 左ペインで、に移動します

    ローカルコンピューターポリシー\コンピューターの構成\ Windowsの設定\セキュリティの設定\ローカルポリシー\監査ポリシー

  3. 右側のペインで、「監査プロセスの追跡」をダブルクリックし、両方のボックスをオンにします

これ以降、すべてのプロセスの作成と削除(および同時に失敗した試行)がセキュリティログに表示されます。

それらを表示するには、イベントビューアーを実行します。(Windowsキーを押して、「イベントビューア」と入力し始めます。)左側のペインで「Windowsログ」サブツリーを展開し、「セキュリティ」をクリックします。すべてのセキュリティイベントが表示されます。

右側のペインで、フィルターを設定して、4688や4689などのイベントID、またはその他のサポートされている基準を検索できます。

「何をいつ実行したか」を探しているため、失敗のログを有効にしないことを検討してください。プロセスの作成が失敗した場合、何も実行されません...

また、画面上のイベントログを読むだけではありません。Windowsの「スケジュールされたタスク」は、指定した条件に一致するイベントログエントリによってトリガーできます。PowerShellスクリプト(または、もちろん、通常のプログラム)を使用してイベントログを読み取り、検出した内容に基づいて処理を行うこともできます。

注:デイビッド・ポスティルの答えは、イベントコードなどの詳細を提供します。無視しないでください!

ジェイミー・ハンラハン
ソース
「gpedit.msc」を取得できない場合はどうすればよいですか?
アンドロイド開発者
Home Editionを使用していますか?
ジェイミーハンラハン
はい。私はホームエディションです。多分それを行うアプリはありますか?
アンドロイド開発者
1
ダウンロード用の.batスクリプトを提供するこれを見つけました。有害なようには見えません。昇格したコマンドプロンプトから実行する必要があります。(つまり、管理者としてcmd.exeを実行します)成功の報告と失敗の報告があります...幸運を祈ります。 itechtics.com/...
ジェイミー・ハンラハン
ワオ。これが可能であることを知りませんでした。ありがとうございました。うまく
アンドロイド開発者
12

実行中のプロセスの履歴を取得するにはどうすればよいですか

デフォルトでは、そのような履歴はなく、どこにも記録されません。

ただし、Windowsセキュリティイベントログでプロセストラッキングイベントを有効にすることができます。

これにより、必要な情報が得られます。

ノート:

Windowsセキュリティログでプロセストラッキングイベントを使用する方法

Windows 2003 / XPでは、プロセス追跡監査ポリシーを有効にするだけでこれらのイベントを取得できます。

Windows 7/2008 +では、監査プロセスの作成を有効にする必要があり、オプションで、グループポリシーオブジェクトの高度な監査ポリシーの構成の下にある監査プロセスの終了サブカテゴリを有効にする必要があります。

これらのイベントは、システム上の実行可能ファイルがプロセスとして開始されるたびに包括的な監査証跡を提供するため、非常に貴重です。両方のイベントにあるプロセスIDを使用して、プロセス作成イベントをプロセス終了イベントにリンクすることにより、プロセスの実行時間を決定することもできます。両方のイベントの例を以下に示します。

ここに画像の説明を入力してください

ソースWindowsセキュリティログでプロセス追跡イベントを使用する方法

監査プロセスの作成を有効にする方法

  1. gpedit.mscを実行します

  2. [Windowsの設定]> [セキュリティの設定]> [ローカルポリシー]> [監査ポリシー]を選択します

    ここに画像の説明を入力してください

  3. 「監査プロセスの追跡」を右クリックして、「プロパティ」を選択します

  4. 「成功」をチェックして「OK」をクリックします

    ここに画像の説明を入力してください

監査プロセスの追跡とは

このセキュリティ設定は、OSがプロセスの作成、プロセスの終了、ハンドルの複製、間接的なオブジェクトアクセスなどのプロセス関連のイベントを監査するかどうかを決定します。

このポリシー設定が定義されている場合、管理者は成功のみ、失敗のみ、成功と失敗の両方を監査するか、これらのイベントをまったく監査しない(つまり、成功も失敗もしない)かを指定できます。

成功の監査が有効な場合、OSがこれらのプロセス関連のアクティビティの1つを実行するたびに監査エントリが生成されます。

失敗の監査が有効になっている場合、OSがこれらのアクティビティのいずれかを実行できないたびに、監査エントリが生成されます。

デフォルト:監査なし

重要:監査ポリシーをさらに制御するには、[監査ポリシーの詳細構成]ノードの設定を使用します。高度な監査ポリシーの構成の詳細については、http://go.microsoft.com/fwlink/?LinkId = 140969を参照して ください

参考文献

デイビッドポスティル
ソース
David、質問を重複して閉じるのではなく、なぜ自分の回答の一部を再投稿するのですか?
ドミトリーグリゴリエフ
1
@DmitryGrigoryev PIDがまだある場合、終了したWindowsプロセスを識別する方法の一部を実際に再投稿しましたか?これはこの質問の重複ではありません。私はこれを
だまし
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.