実行中のプロセスへのPIDの関連付けを含むWindowsログがいくつかありますか
デフォルトでは、そのようなログはありません。ただし、Windowsセキュリティイベントログでプロセストラッキングイベントを有効にすることができます。
ノート:
Windowsセキュリティログでプロセストラッキングイベントを使用する方法
Windows 2003 / XPでは、プロセス追跡監査ポリシーを有効にするだけでこれらのイベントを取得できます。
Windows 7/2008 +では、監査プロセスの作成を有効にする必要があり、オプションで、グループポリシーオブジェクトの高度な監査ポリシーの構成の下にある監査プロセスの終了サブカテゴリを有効にする必要があります。
これらのイベントは、システム上の実行可能ファイルがプロセスとして開始されるたびに包括的な監査証跡を提供するため、非常に貴重です。両方のイベントにあるプロセスIDを使用して、プロセス作成イベントをプロセス終了イベントにリンクすることにより、プロセスの実行時間を決定することもできます。両方のイベントの例を以下に示します。
ソースWindowsセキュリティログでプロセス追跡イベントを使用する方法
監査プロセスの作成を有効にする方法
gpedit.mscを実行します
[Windowsの設定]> [セキュリティの設定]> [ローカルポリシー]> [監査ポリシー]を選択します
「監査プロセスの追跡」を右クリックして、「プロパティ」を選択します
「成功」をチェックして「OK」をクリックします
監査プロセスの追跡とは
このセキュリティ設定は、OSがプロセスの作成、プロセスの終了、ハンドルの複製、間接的なオブジェクトアクセスなどのプロセス関連のイベントを監査するかどうかを決定します。
このポリシー設定が定義されている場合、管理者は成功のみ、失敗のみ、成功と失敗の両方を監査するか、これらのイベントをまったく監査しない(つまり、成功も失敗もしない)かを指定できます。
成功の監査が有効な場合、OSがこれらのプロセス関連のアクティビティの1つを実行するたびに監査エントリが生成されます。
失敗の監査が有効になっている場合、OSがこれらのアクティビティのいずれかを実行できないたびに、監査エントリが生成されます。
デフォルト:監査なし
重要:監査ポリシーをさらに制御するには、[監査ポリシーの詳細構成]ノードの設定を使用します。高度な監査ポリシーの構成の詳細については、http://go.microsoft.com/fwlink/?LinkId = 140969を参照して
ください。