O método mais simples é ativar processo de auditoria , via MMC:
Local Security Settings > Local Policies > Audit Policy
defina Acompanhamento do processo de auditoria "para" Sucesso, Falha "e aplique.
Isso preencherá o log de eventos (Segurança) rapidamente, por isso, certifique-se de configurar conforme necessário .
A criação e a saída do processo são registradas com os IDs de evento 592 e 593, respectivamente. O PID, usuário, domínio e nome completo do processo também são registrados. Deve ser simples o suficiente para acessar esses dados via WMI, ou você pode filtrar e exportar para texto ou XML com wevtutil .
Você também pode usar o MS Applocker para usar o aplicativo de auditoria .