O Gerenciador de Tarefas mostra programas em execução - como posso ver os que foram finalizados?

Como descubro quais programas estão em execução quando foram interrompidos

Por padrão, não há registros de quais programas foram executados.

No entanto, você pode ativar Eventos de controle de processos no Registro de eventos de segurança do Windows (veja abaixo instruções) e essas informações estarão disponíveis para você no futuro.

Quando os eventos de rastreamento do processo estiverem ativados, você poderá usar os seguintes comandos do Powershell para examinar os eventos:

Início do processo:

Get-EventLog Security | Where-Object {$_.EventID -eq 4688} | Format-List

Parada de processo:

Get-EventLog Security | Where-Object {$_.EventID -eq 4689} | Format-List

Os comandos acima descarregam as informações do evento para a tela.

Como usar eventos de controle de processos no log de segurança do Windows

No Windows 2003 / XP, você obtém esses eventos simplesmente ativando a política de auditoria do acompanhamento de processos.

No Windows 7/2008 +, você precisa ativar a criação do processo de auditoria e, opcionalmente, as subcategorias Terminação do processo de auditoria, que você encontrará em Configuração de política de auditoria avançada em objetos de política de grupo.

Esses eventos são incrivelmente valiosos porque fornecem uma trilha de auditoria abrangente sempre que qualquer executável no sistema é iniciado como um processo . Você pode até determinar por quanto tempo o processo foi executado vinculando o evento de criação do processo ao evento de finalização do processo usando o ID do processo encontrado em ambos os eventos. Exemplos de ambos os eventos são mostrados abaixo.

Fonte Como usar o rastreamento de processos Eventos no log de segurança do Windows

Como habilitar a criação do processo de auditoria

1. Execute gpedit.msc

   • Nota: Infelizmente, o Editor de políticas de grupo não está incluído nas edições Starter Edition, Home e Home Premium do Windows.
   • Veja minha resposta Como instalo o gpedit.msc no Windows Starter Edition, Home e Home Premium? para obter instruções de instalação .

2. Selecione "Configurações do Windows" > "Configurações de segurança" > "Políticas locais" > "Política de Auditoria"

   

3. Cliquecomobotãodireitodomouseem"Acompanhamento do processo de auditoria" e selecione "Propriedades"

4. Marque "Sucesso" e clique em "OK"

   

Oqueéoacompanhamentodoprocessodeauditoria

ThissecuritysettingdetermineswhethertheOSauditsprocess-relatedeventssuchasprocesscreation,processtermination,handleduplication,andindirectobjectaccess.

Ifthispolicysettingisdefined,theadministratorcanspecifywhethertoauditonlysuccesses,onlyfailures,bothsuccessesandfailures,ortonotaudittheseeventsatall(i.e.neithersuccessesnorfailures).

IfSuccessauditingisenabled,anauditentryisgeneratedeachtimetheOSperformsoneoftheseprocess-relatedactivities.

IfFailureauditingisenabled,anauditentryisgeneratedeachtimetheOSfailstoperformoneoftheseactivities.

Default:Noauditing

Important:Formorecontroloverauditingpolicies,usethesettingsintheAdvancedAuditPolicyConfigurationnode.FormoreinformationaboutAdvancedAuditPolicyConfiguration,seehttp://go.microsoft.com/fwlink/?LinkId=140969.

E quanto ao ExecutedProgramList da Nirsoft? Posso usar isso?

ExecutedProgramList não fornece uma lista completa dos programas que foram executados.

Por exemplo, ele não lista nenhum dos programas portáteis que estou executando atualmente no meu thumbdrive, por exemplo, Agent, Notepad ++, GSNotes, assim como quase todos os programas Cygwin que executei desde a última reinicialização.

Não listará nenhum programa que não escreva nada nos locais mencionados no link:

The list of previously executed programs is collected from the following data sources:

• Registry Key: HKEY_CURRENT_USER\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache
• Registry Key: HKEY_CURRENT_USER\Microsoft\Windows\ShellNoRoam\MUICache
• Registry Key: HKEY_CURRENT_USER\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted
• Registry Key: HKEY_CURRENT_USER\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store
• Windows Prefetch folder (C:\Windows\Prefetch)

Fonte ExecutedProgramList

Leitura Adicional

• Enciclopédia de log de segurança do Windows
• Use o PowerShell executar análise off-line de logs de segurança
• Usando o cmdlet Get-Eventlog
• Use o cmdlet do PowerShell para filtrar o log de eventos para facilitar a análise
• Consulta fácil de log de eventos com o PowerShell

A Nirsoft tem um aplicativo pequeno e gratuito, ExecutedProgramList , que mostra uma lista de programas e arquivos em lote executados no seu sistema. Observe que nem sempre é possível mostrar a hora em que um aplicativo foi iniciado pela última vez, devido a limitações inerentes ao Windows e, como o @DavidPostill mencionou, ele pode perder aplicativos portáteis.

Ele extrai suas informações do Windows, portanto, não precisa estar em execução para compilar sua lista.

Histórico de processos também faz isso. É um banco de dados de processos gratuito e portátil.

É um simples download .zip portátil. Existe um manual sobre como usá-lo com vídeo no site de download.

Enquanto o Histórico de Processos estiver em execução, você poderá consultar os processos que terminaram por meio de uma GUI separada.

Ele será executado em qualquer versão do Windows a partir do XP.

(Eu sou o autor deste software de código aberto.)