Ho bisogno di avere una cronologia di quali processi sono stati eseguiti sul mio computer Windows e quando sono stati eseguiti. Tuttavia, non posso utilizzare alcun software di terze parti, in quanto non posso garantire che sarà sempre in esecuzione.
Esiste un modo per ottenere queste informazioni solo utilizzando la funzionalità integrata di Windows?
Risposte:
Sicuro. Puoi utilizzare la registrazione degli eventi integrata di Windows (supponendo che non ti trovi in qualche edizione economica che non ce l'ha).
Nel riquadro sinistro, vai a
Criteri del computer locale \ Configurazione computer \ Impostazioni di Windows \ Impostazioni di sicurezza \ Criteri locali \ Criteri di controllo
Nel riquadro destro, fai doppio clic su "Verifica processo di controllo" e seleziona entrambe le caselle
D'ora in poi, tutte le creazioni e le cancellazioni dei processi (e i tentativi falliti contemporaneamente) appariranno nel registro di sicurezza.
Per visualizzarli, eseguire il Visualizzatore eventi. (Premi il tasto Windows e inizia a digitare "Visualizzatore eventi".) Nel riquadro sinistro espandi l'albero secondario "Registri di Windows" e fai clic su "Sicurezza". Verranno visualizzati tutti gli eventi di sicurezza.
Nel riquadro destro è possibile impostare un filtro per cercare ID evento come 4688 o 4689 o qualsiasi altro criterio supportato.
Potresti considerare di non abilitare la registrazione degli errori poiché stai cercando "cosa è stato eseguito e quando" e se la creazione di un processo ha avuto esito negativo, allora non è stato eseguito nulla ... ma dipende da te.
Non sei limitato alla sola lettura del registro eventi sullo schermo. Le "Attività pianificate" di Windows possono essere attivate dalle voci del registro eventi che corrispondono ai criteri specificati. Puoi anche leggere il registro eventi con uno script PowerShell (o, ovviamente, con un normale programma) e fare cose in base a ciò che trovi.
NB: la risposta di David Postill fornisce maggiori dettagli su alcuni dei codici evento, ecc. Non ignorarlo!
Per impostazione predefinita, tale cronologia non esiste e non viene registrata da nessuna parte.
Tuttavia, è possibile abilitare Eventi di tracciabilità dei processi nel registro eventi di sicurezza di Windows.
Questo ti darà le informazioni di cui hai bisogno.
Appunti:
La soluzione richiede di apportare modifiche ai Criteri di gruppo utilizzando gpedit.
Purtroppo l'Editor criteri di gruppo (gpedit) non è incluso nelle versioni Starter Edition, Home e Home Premium di Windows.
Vedi le mie domande e risposte Windows Starter Edition, Home e Home Premium non includono gpedit, come posso installarlo? per istruzioni su come installarlo.
In Windows 2003 / XP si ottengono questi eventi semplicemente abilitando il criterio di controllo Tracking del processo.
In Windows 7/2008 + è necessario abilitare la creazione del processo di controllo e, facoltativamente, le sottocategorie di completamento del processo di controllo che si trovano in Configurazione avanzata dei criteri di controllo negli oggetti dei criteri di gruppo.
Questi eventi sono incredibilmente preziosi perché forniscono una traccia di controllo completa ogni volta che qualsiasi eseguibile sul sistema viene avviato come processo. È anche possibile determinare la durata del processo collegando l'evento di creazione del processo all'evento di terminazione del processo utilizzando l'ID processo trovato in entrambi gli eventi. Di seguito sono riportati esempi di entrambi gli eventi.
Origine Come utilizzare gli eventi di rilevamento processi nel registro di sicurezza di Windows
Esegui gpedit.msc
Seleziona "Impostazioni di Windows"> "Impostazioni di sicurezza"> "Criteri locali"> "Criteri di controllo"
Fare clic con il tasto destro del mouse su "Tracciamento del processo di controllo" e selezionare "Proprietà"
Seleziona "Operazione riuscita" e fai clic su "OK"
Questa impostazione di sicurezza determina se il sistema operativo controlla gli eventi relativi al processo come la creazione del processo, la conclusione del processo, la gestione della duplicazione e l'accesso indiretto agli oggetti.
Se viene definita questa impostazione di criterio, l'amministratore può specificare se controllare solo gli esiti positivi, solo gli errori, sia gli esiti positivi che i guasti, oppure se non controllare affatto tali eventi (ovvero né esiti positivi o negativi).
Se il controllo riuscito è abilitato, viene generata una voce di controllo ogni volta che il sistema operativo esegue una di queste attività correlate al processo.
Se il controllo degli errori è abilitato, viene generata una voce di controllo ogni volta che il sistema operativo non riesce a svolgere una di queste attività.
Impostazione predefinita: nessun controllo
Importante: per un maggiore controllo sui criteri di controllo, utilizzare le impostazioni nel nodo Configurazione avanzata criteri di controllo. Per ulteriori informazioni sulla configurazione avanzata dei criteri di controllo, vedere http://go.microsoft.com/fwlink/?LinkId=140969 .
