Как я могу получить историю запущенных процессов [дубликат]

Мне нужно получить историю того, какие процессы выполнялись на моем компьютере с Windows и когда они были запущены. Однако я не могу использовать стороннее программное обеспечение, так как не могу гарантировать, что оно всегда будет работать.

Есть ли способ получить эту информацию только с помощью встроенных функций Windows?


Конечно. Вы можете использовать встроенный журнал событий Windows (при условии, что у вас нет дешевой версии, в которой его нет).

  1. Нажмите Win + R и введите gpedit.msc чтобы открыть диспетчер групповой политики.
  2. На левой панели перейдите в

    Политика локального компьютера Конфигурация компьютера Параметры Windows Security Settings Local Policies Audit Policy

  3. На правой панели дважды щелкните «Audit process tracking» и установите оба флажка

С этого момента все создания и удаления процессов (а также неудачные попытки) будут отображаться в журнале безопасности.

Чтобы просмотреть их, запустите средство просмотра событий. (Нажмите клавишу Windows и начните вводить «Средство просмотра событий».) На левой панели разверните поддерево «Журналы Windows» и нажмите «Безопасность». Будут отображены все события безопасности.

На правой панели вы можете настроить фильтр для поиска идентификаторов событий, таких как 4688 или 4689, или любых других поддерживаемых критериев.

Вы можете рассмотреть возможность не включения ведения журнала сбоев, поскольку вы ищете, «что и когда выполнялось», и если создание процесса не удалось, то ничего не было беги … но решать тебе.

Вы также не ограничены только чтением журнала событий на экране. «Запланированные задачи» Windows могут запускаться записями журнала событий, соответствующими указанным вами критериям. Вы также можете читать журнал событий с помощью сценария PowerShell (или, конечно, с помощью обычной программы) и делать что-то в зависимости от того, что вы найдете.

Примечание: ответ Дэвида Постилла дает более подробную информацию о некоторых кодах событий и т. д. Не игнорируйте это!


Как получить историю запущенных процессов

По умолчанию есть такой истории нет и она нигде не логируется.

Однако вы можете включить события отслеживания процессов в журнале событий безопасности Windows.

Это даст вам необходимую информацию.

Примечания:

  • Решение требует внесения изменений в групповую политику с помощью gpedit.

  • К сожалению, редактор групповой политики (gpedit) не включен в выпуски Windows Starter Edition, Home и Home Premium.

  • См. мои вопросы и ответы. Windows Starter Edition, Home и Home Premium не включают gpedit, как мне его установить? для получения инструкций по его установке.


Как использовать события отслеживания процессов в журнале безопасности Windows

В Windows 2003/XP вы получаете эти события, просто включив политику аудита отслеживания процессов..

В Windows 7/2008 + вам необходимо включить создание процесса аудита и, при желании, подкатегории завершения процесса аудита, которые вы найдете в разделе Расширенная конфигурация политики аудита в объектах групповой политики.

Эти события невероятно ценны, потому что они дают исчерпывающий контрольный журнал каждый раз, когда любой исполняемый файл в системе запускается как процесс. Вы даже можете определить, как долго выполнялся процесс, связав событие создания процесса с событием завершения процесса, используя идентификатор процесса, найденный в обоих событиях. Примеры обоих событий показаны ниже.

Источник Как использовать события отслеживания процессов в журнале безопасности Windows


Как включить создание процесса аудита

  1. Запустите gpedit.msc

  2. Выберите «Настройки Windows»> «Настройки безопасности»> «Локальные политики»> «Политика аудита»

  3. Щелкните правой кнопкой мыши «Отслеживание процесса аудита» и выберите «Свойства»

  4. Отметьте «Успешно» и нажмите «ОК»


Что такое отслеживание процесса аудита

Этот параметр безопасности определяет, будет ли ОС проверять связанные с процессом события, такие как создание процесса, завершение процесса, дублирование обработки и косвенный доступ к объектам.

Если этот параметр политики определен, администратор может указать, следует ли проводить аудит только успехов, только неудач, как успехов, так и отказов, или не проверять эти события вообще (то есть ни успехов, ни неудач).

Если включен аудит успешности, запись аудита создается каждый раз, когда ОС выполняет одно из этих связанных с процессом действий.

Если включен аудит отказов, запись аудита создается каждый раз, когда ОС не может выполнить одно из этих действий.

По умолчанию: без аудита

Важно: для большего контроля над политиками аудита используйте настройки в узле Advanced Audit Policy Configuration. Дополнительные сведения о конфигурации расширенной политики аудита см. На странице http://go.microsoft.com/fwlink/?LinkId=140969.


Дополнительная литература

  • Энциклопедия журналов безопасности Windows

2



2 инструмента для мониторинга определенных процессов и триггерных действий

Мы все знаем о диспетчере задач Windows и о том, что вы можете использовать его для просмотра, kill, изменить приоритет и установить количество ядер процессора, которое использует процесс приложения. Если у вас есть мошеннический процесс, который является вредоносным или вызывает чрезмерное использование ЦП или памяти, диспетчер задач — это первое место, куда вы отправляетесь для устранения неполадок.. Конечно, в дополнение к процессам диспетчер задач может обеспечивать контроль над задачами служб и приложений Windows и предоставлять общую информацию о производительности компьютера и сети.

Хотя диспетчер задач Windows достаточно хорош для большинства людей, есть более полные и продвинутые инструменты управления задачами, такие как Process Explorer, Process Hacker и System Explorer. Но если вы хотите контролировать конкретный процесс приложения на предмет использования ЦП или памяти, с этими инструментами становится сложнее, потому что они предназначены для мониторинга всех системных процессов в целом и ограничены, когда вы хотите отслеживать одну программу.

Здесь мы рассмотрим несколько инструментов, которые могут отслеживать определенный процесс в течение определенного периода времени, а затем запускать определенные действия, когда процесс ведет себя ненормально или делает что-то, что вам не нужно, например закрытие вниз.

1. Kiwi Application Monitor

Application Monitor — это программа, которая, как следует из названия, может отслеживать активность определенных задач или процессов. Затем, как только вы укажете Kiwi Application Monitor, за чем следует следить, программа будет работать в фоновом режиме, наблюдать за использованием ресурсов и выполнять ряд действий в зависимости от того, что делает целевой процесс.

После установки и запуска программы Kiwi просто нажмите зеленую кнопку Добавить, чтобы выбрать процесс. Это не обязательно должен быть запущенный в данный момент процесс, и вы можете либо найти исполняемый файл, либо выбрать запущенный процесс из встроенного «Обозревателя процессов», нажать «Добавить» после выбора нужного процесса. Обозреватель процессов также может работать как базовый диспетчер задач, в котором вы можете уничтожать запущенные процессы, кнопка «Информация» показывает довольно подробную информацию, где вы также можете изменить приоритет и разрешенный максимальный объем памяти.

В том же окне, где вы выбираете, какую программу отслеживать, есть параметры для установки количества правила. Вы можете отображать предупреждение, когда процесс открывается или закрывается, когда нагрузка на память превышает определенный порог или когда он выполняется в течение xx минут. Триггеры действий также могут быть определены для закрытия процесса после достижения определенного времени, загрузки ЦП или ограничения использования памяти. Даже другие программы могут быть запущены, когда отслеживаемый процесс запущен или закрыт.

Kiwi Application Monitor также может сразу рассказать вам много информации о отслеживаемой программе, например, когда и как долго она работает, среднее время выполнения, сколько и пиковая используемая память, а также то же самое с загрузкой процессора. Хотя основная статистика не работает в бесплатной версии, вы все равно можете использовать функцию Статистика> Сравнить, чтобы получить информацию о времени выполнения процесса, загрузке ЦП и использовании памяти за определенный период времени.

В меню» Инструменты «есть несколько других полезных функций, таких как Service Explorer для запуска, остановки и приостановки служб Windows, Kiwi System Info, которая является программой информации об оборудовании и системе, а также менеджер автозагрузки для добавления, удаления или редактирования программ, запускаемых с Windows. К сожалению, некоторые функции, такие как статистика и расширенные правила, отключены в бесплатной версии, чтобы разблокировать их, вам нужно купить версию Pro за немного дороговизну в 37 фунтов стерлингов.

Загрузить Kiwi Application Monitor


2. Менеджер процессов Bill2

В отличие от Kiwi Application Monitor Monitor, описанного выше, диспетчер процессов Bill2 является полностью бесплатным и неограниченным, поэтому можно использовать все доступные функции. Еще одно приятное отличие состоит в том, что эта утилита имеет портативную версию, поэтому вам не нужно устанавливать ее, если вы не хотите. Небольшой минус — то, что программа по умолчанию использует французский язык в пользовательском интерфейсе (веб-сайт тоже на французском языке), это легко изменить, хотя через th e Нажмите кнопку «Параметры» в левом нижнем углу и выберите в раскрывающемся списке английский язык.

Когда вы запускаете диспетчер процессов, он отображает список запущенных процессов в базовом стиле диспетчера задач, который можно запускать, останавливать, приостанавливать, искать в Google или изменять приоритет или привязку. Windows и несколько других выбранных процессов по умолчанию скрыты, поэтому, если вы хотите отслеживать один из них, снимите флажок «Показать скрытые процессы» вверху. Чтобы создать правило для выбранного процесса, щелкните его правой кнопкой мыши и выберите «Создать правило для этого процесса».

Хотя сродство (количество доступных ядер ЦП) и приоритет процесса можно настроить когда она активна или неактивна, здесь особый интерес представляет вкладка «Особые действия». Он может выполнять действия при запуске или остановке процесса, например, показывать всплывающую подсказку, уничтожать или перезапускать, запускать или уничтожать другую указанную программу. Вкладка «Бездействие» может выполнять аналогичные действия, когда выбранный процесс простаивал в течение xx минут, а вкладка «Повышенная активность» будет делать то же самое, если процесс превышает указанный процент использования ЦП в течение xx минут.

Диспетчер процессов Bill2 — чистый и простой в использовании инструмент, который использует примерно столько же системной памяти как Kiwi при мониторинге в фоновом режиме (около 20 МБ), но он не может отслеживать или выполнять действия, основанные на использовании памяти выбранным процессом. Диспетчер процессов работает в Windows 2000 и более поздних версий.

Загрузить диспетчер процессов Bill2

Оцените статью
clickpad.ru
Добавить комментарий