Como posso obter um histórico de processos em execução [duplicado]

11

Eu preciso obter um histórico de quais processos foram executados na minha máquina Windows e quando eles foram executados. No entanto, não posso usar nenhum software de terceiros, pois não posso garantir que estará sempre em execução.

Existe alguma maneira de obter essas informações apenas usando a funcionalidade interna do Windows?

    
por zzy 14.03.2016 / 09:34

2 respostas

14

Claro. Você pode usar o registro de eventos interno do Windows (supondo que você não esteja em alguma edição barata que não tenha).

  1. Pressione Win + R e digite gpedit.msc para abrir o gerenciador de políticas de grupo
  2. No painel esquerdo, navegue até

    Local Computer Policy \ Computer Configuration \ Windows Settings \ Security Settings \ Local Policies \ Audit Policy

  3. No painel direito, clique duas vezes em "Acompanhamento do processo de auditoria" e marque as duas caixas

A partir de agora, todas as criações e exclusões de processos (e tentativas com falha na mesma) serão exibidas no log de segurança.

Para visualizá-los, execute o Visualizador de Eventos. (Pressione a tecla Windows e comece a digitar "Visualizador de Eventos".) No painel esquerdo, expanda a subárvore "Windows Logs" e clique em "Segurança". Todos os eventos de segurança serão exibidos.

No painel direito, você pode configurar um Filtro para procurar IDs de evento, como 4688 ou 4689, ou qualquer outro critério com suporte.

Você pode considerar não ativar o registro de falhas desde que esteja procurando "o que foi executado e quando" e, se uma criação de processo falhou, nada foi executado ... mas isso é uma tarefa você.

Você não está limitado a apenas ler o log de eventos na sua tela. O Windows "Tarefas agendadas" pode ser acionado por entradas do log de eventos que correspondem aos critérios especificados. Você também pode ler o log de eventos com um script do PowerShell (ou, é claro, com um programa comum) e fazer coisas com base no que encontrar.

N.B .: A resposta de David Postill dá mais detalhes sobre alguns dos códigos de eventos, etc. Não ignore isso!

    
por 14.03.2016 / 09:48
10

Como posso obter um histórico de processos em execução

Por padrão, não existe tal histórico e não está registrado em nenhum lugar.

No entanto, você pode ativar os eventos de controle de processos no log de eventos de segurança do Windows.

Isso fornecerá as informações necessárias.

Notas:

Como usar eventos de controle de processos no log de segurança do Windows

In Windows 2003/XP you get these events by simply enabling the Process Tracking audit policy.

In Windows 7/2008+ you need to enable the Audit Process Creation and, optionally, the Audit Process Termination subcategories which you’ll find under Advanced Audit Policy Configuration in group policy objects.

These events are incredibly valuable because they give a comprehensive audit trail of every time any executable on the system is started as a process. You can even determine how long the process ran by linking the process creation event to the process termination event using the Process ID found in both events. Examples of both events are shown below.

enter image description here

Fonte Como usar o rastreamento de processos Eventos no log de segurança do Windows

Como habilitar a criação do processo de auditoria

  1. Execute gpedit.msc

  2. Selecione "Configurações do Windows" > "Configurações de segurança" > "Políticas locais" > "Política de Auditoria"

  3. Cliquecomobotãodireitodomouseem"Acompanhamento do processo de auditoria" e selecione "Propriedades"

  4. Marque "Sucesso" e clique em "OK"

Oqueéoacompanhamentodoprocessodeauditoria

ThissecuritysettingdetermineswhethertheOSauditsprocess-relatedeventssuchasprocesscreation,processtermination,handleduplication,andindirectobjectaccess.

Ifthispolicysettingisdefined,theadministratorcanspecifywhethertoauditonlysuccesses,onlyfailures,bothsuccessesandfailures,ortonotaudittheseeventsatall(i.e.neithersuccessesnorfailures).

IfSuccessauditingisenabled,anauditentryisgeneratedeachtimetheOSperformsoneoftheseprocess-relatedactivities.

IfFailureauditingisenabled,anauditentryisgeneratedeachtimetheOSfailstoperformoneoftheseactivities.

Default:Noauditing

Important:Formorecontroloverauditingpolicies,usethesettingsintheAdvancedAuditPolicyConfigurationnode.FormoreinformationaboutAdvancedAuditPolicyConfiguration,seehttp://go.microsoft.com/fwlink/?LinkId=140969.

Leitura Adicional

por 14.03.2016 / 11:36