Como posso obter um histórico de processos em execução [duplicado]

Question

Como posso obter um histórico de processos em execução [duplicado]

#1 resposta do (14 votos)
#2 resposta do (10 votos)

11

Eu preciso obter um histórico de quais processos foram executados na minha máquina Windows e quando eles foram executados. No entanto, não posso usar nenhum software de terceiros, pois não posso garantir que estará sempre em execução.

Existe alguma maneira de obter essas informações apenas usando a funcionalidade interna do Windows?

windows history

por zzy 14.03.2016 / 09:34

2 respostas

10

Como posso obter um histórico de processos em execução

Por padrão, não existe tal histórico e não está registrado em nenhum lugar.

No entanto, você pode ativar os eventos de controle de processos no log de eventos de segurança do Windows.

Isso fornecerá as informações necessárias.

Notas:

A solução requer fazer alterações na Diretiva de Grupo usando gpedit .
Infelizmente, o Editor de Diretiva de Grupo (gpedit) não está incluído nas edições Starter Edition, Home e Home Premium do Windows.
Veja minhas perguntas e respostas Windows Starter Edition, Home e Home Premium não incluem o gpedit, como faço para instalá-lo? para obter instruções sobre como instalá-lo.

Como usar eventos de controle de processos no log de segurança do Windows

In Windows 2003/XP you get these events by simply enabling the Process Tracking audit policy.

In Windows 7/2008+ you need to enable the Audit Process Creation and, optionally, the Audit Process Termination subcategories which you’ll find under Advanced Audit Policy Configuration in group policy objects.

These events are incredibly valuable because they give a comprehensive audit trail of every time any executable on the system is started as a process. You can even determine how long the process ran by linking the process creation event to the process termination event using the Process ID found in both events. Examples of both events are shown below.

Fonte Como usar o rastreamento de processos Eventos no log de segurança do Windows

Como habilitar a criação do processo de auditoria

Execute gpedit.msc
Selecione "Configurações do Windows" > "Configurações de segurança" > "Políticas locais" > "Política de Auditoria"
Cliquecomobotãodireitodomouseem"Acompanhamento do processo de auditoria" e selecione "Propriedades"
Marque "Sucesso" e clique em "OK"

Oqueéoacompanhamentodoprocessodeauditoria

ThissecuritysettingdetermineswhethertheOSauditsprocess-relatedeventssuchasprocesscreation,processtermination,handleduplication,andindirectobjectaccess.
Ifthispolicysettingisdefined,theadministratorcanspecifywhethertoauditonlysuccesses,onlyfailures,bothsuccessesandfailures,ortonotaudittheseeventsatall(i.e.neithersuccessesnorfailures).
IfSuccessauditingisenabled,anauditentryisgeneratedeachtimetheOSperformsoneoftheseprocess-relatedactivities.
IfFailureauditingisenabled,anauditentryisgeneratedeachtimetheOSfailstoperformoneoftheseactivities.
Default:Noauditing
Important:Formorecontroloverauditingpolicies,usethesettingsintheAdvancedAuditPolicyConfigurationnode.FormoreinformationaboutAdvancedAuditPolicyConfiguration,seehttp://go.microsoft.com/fwlink/?LinkId=140969.

Leitura Adicional

Enciclopédia de log de segurança do Windows

por 14.03.2016 / 11:36

Tags windows history

Impede que um Mac durma enquanto um script bash está em execução e permite que ele durma normalmente após a conclusão Como posso mover o menu iniciar / barra de tarefas para um monitor secundário? [duplicado]

score 14 · Accepted Answer

Claro. Você pode usar o registro de eventos interno do Windows (supondo que você não esteja em alguma edição barata que não tenha).

Pressione Win + R e digite gpedit.msc para abrir o gerenciador de políticas de grupo
No painel esquerdo, navegue até

Local Computer Policy \ Computer Configuration \ Windows Settings \ Security Settings \ Local Policies \ Audit Policy
No painel direito, clique duas vezes em "Acompanhamento do processo de auditoria" e marque as duas caixas

A partir de agora, todas as criações e exclusões de processos (e tentativas com falha na mesma) serão exibidas no log de segurança.

Para visualizá-los, execute o Visualizador de Eventos. (Pressione a tecla Windows e comece a digitar "Visualizador de Eventos".) No painel esquerdo, expanda a subárvore "Windows Logs" e clique em "Segurança". Todos os eventos de segurança serão exibidos.

No painel direito, você pode configurar um Filtro para procurar IDs de evento, como 4688 ou 4689, ou qualquer outro critério com suporte.

Você pode considerar não ativar o registro de falhas desde que esteja procurando "o que foi executado e quando" e, se uma criação de processo falhou, nada foi executado ... mas isso é uma tarefa você.

Você não está limitado a apenas ler o log de eventos na sua tela. O Windows "Tarefas agendadas" pode ser acionado por entradas do log de eventos que correspondem aos critérios especificados. Você também pode ler o log de eventos com um script do PowerShell (ou, é claro, com um programa comum) e fazer coisas com base no que encontrar.

N.B .: A resposta de David Postill dá mais detalhes sobre alguns dos códigos de eventos, etc. Não ignore isso!