Task Manager menunjukkan program yang sedang berjalan - bagaimana saya bisa melihat yang sudah berakhir?

Bagaimana cara mengetahui program apa yang telah berjalan di komputer saya bahkan jika mereka telah dihentikan sejauh Task Manager tidak dapat menunjukkan apa-apa?

Saya tidak menggunakan komputer saya sendirian dan kadang-kadang mencurigakan.

Bagaimana cara mengetahui program apa yang telah berjalan ketika mereka dihentikan

Secara default tidak ada log dari program apa yang telah dijalankan.

Namun, Anda dapat mengaktifkan Acara Pelacakan Proses di Log Kejadian Keamanan Windows (lihat di bawah untuk instruksi) dan informasi ini akan tersedia untuk Anda di masa mendatang.

Setelah Acara Pelacakan Proses diaktifkan, Anda dapat menggunakan perintah Powershell berikut untuk memeriksa acara:

Mulai Proses:

Get-EventLog Security | Where-Object {$_.EventID -eq 4688} | Format-List

Proses Berhenti:

Get-EventLog Security | Where-Object {$_.EventID -eq 4689} | Format-List

Perintah di atas membuang informasi acara ke layar.

Cara Menggunakan Acara Pelacakan Proses di Log Keamanan Windows

Di Windows 2003 / XP Anda mendapatkan acara ini hanya dengan mengaktifkan kebijakan audit Pelacakan Proses.

Pada Windows 7/2008 + Anda harus mengaktifkan Pembuatan Proses Audit dan, secara opsional, subkategori Pengakhiran Proses Audit yang akan Anda temukan di Konfigurasi Kebijakan Audit Lanjutan di objek kebijakan grup.

Peristiwa ini sangat berharga karena mereka memberikan jejak audit yang komprehensif setiap kali setiap eksekusi pada sistem dimulai sebagai suatu proses . Anda bahkan dapat menentukan berapa lama proses berjalan dengan menghubungkan acara pembuatan proses ke acara penghentian proses menggunakan ID Proses yang ditemukan di kedua acara. Contoh dari kedua acara ditunjukkan di bawah ini.

Sumber Cara Menggunakan Acara Pelacakan Proses di Log Keamanan Windows

Cara mengaktifkan Pembuatan Proses Audit

1. Jalankan gpedit.msc

   • Catatan: Sayangnya Editor Kebijakan Grup tidak disertakan dengan edisi Windows Starter, Home dan Home Premium.
   • Lihat jawaban saya. Bagaimana cara menginstal gpedit.msc pada Windows Starter Edition, Home dan Home Premium? untuk instruksi pemasangan.

2. Pilih "Pengaturan Windows"> "Pengaturan Keamanan"> "Kebijakan Lokal"> "Kebijakan Audit"

   

3. Klik kanan "Pelacakan proses audit" dan pilih "Properti"

4. Periksa "Sukses" dan klik "OK"

   

Apa itu Pelacakan Proses Audit

Pengaturan keamanan ini menentukan apakah OS mengaudit kejadian terkait proses seperti pembuatan proses, penghentian proses, menangani duplikasi, dan akses objek tidak langsung.

Jika pengaturan kebijakan ini ditentukan, administrator dapat menentukan apakah akan mengaudit hanya keberhasilan, hanya kegagalan, baik keberhasilan maupun kegagalan, atau untuk tidak mengaudit peristiwa ini sama sekali (yaitu tidak ada keberhasilan maupun kegagalan).

Jika Audit sukses diaktifkan, entri audit dihasilkan setiap kali OS melakukan salah satu dari kegiatan yang berhubungan dengan proses ini.

Jika kegagalan audit diaktifkan, entri audit dihasilkan setiap kali OS gagal melakukan salah satu dari kegiatan ini.

Default: Tidak ada audit

Penting: Untuk kontrol lebih lanjut atas kebijakan audit, gunakan pengaturan di simpul Konfigurasi Kebijakan Audit Lanjutan. Untuk informasi lebih lanjut tentang Konfigurasi Kebijakan Audit Lanjut, lihat http://go.microsoft.com/fwlink/?LinkId=140969 .

Bagaimana dengan ExecutedProgramList dari Nirsoft? Bisakah saya menggunakannya?

ExecutedProgramList tidak memberikan daftar lengkap program yang telah dieksekusi.

Sebagai contoh, itu tidak mencantumkan program portabel yang saya jalankan dari thumbdrive saya, misalnya Agen, Notepad ++, GSNotes serta hampir setiap program Cygwin yang saya jalankan sejak restart terakhir saya.

Itu tidak akan mencantumkan program apa pun yang tidak menulis apa pun ke lokasi yang disebutkan dalam tautan:

Daftar program yang dieksekusi sebelumnya dikumpulkan dari sumber data berikut:

• Kunci Pendaftaran: HKEY_CURRENT_USER\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache
• Kunci Pendaftaran: HKEY_CURRENT_USER\Microsoft\Windows\ShellNoRoam\MUICache
• Kunci Pendaftaran: HKEY_CURRENT_USER\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted
• Kunci Pendaftaran: HKEY_CURRENT_USER\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store
• Folder Prefetch Windows (C: \ Windows \ Prefetch)

Sumber ExecutedProgramList

Bacaan lebih lanjut

• Encyclopedia Log Keamanan Windows
• Gunakan PowerShell untuk Melakukan Analisis Offline Log Keamanan
• Menggunakan Get-Eventlog Cmdlet
• Gunakan PowerShell Cmdlet untuk Memfilter Log Aktivitas untuk Parsing Mudah
• Kueri Log Acara Mudah dengan PowerShell

Nirsoft memiliki aplikasi kecil dan gratis, ExecutedProgramList , yang memperlihatkan daftar program dan file batch yang dieksekusi di sistem Anda. Perhatikan bahwa ini tidak selalu dapat menunjukkan waktu aplikasi terakhir dimulai, karena keterbatasan yang melekat pada Windows, dan, seperti yang disebutkan oleh @DavidPostill, ini mungkin kehilangan aplikasi portabel.

Ini memperoleh info dari Windows, jadi tidak perlu dijalankan untuk menyusun daftar.

Riwayat Proses juga melakukan ini. Ini adalah database proses yang gratis dan portabel.

Ini adalah unduhan .zip portabel yang sederhana. Ada manual tentang cara menggunakannya dengan video di situs unduhan.

Selama Riwayat Proses berjalan, Anda dapat meminta proses yang telah berakhir melalui GUI terpisah.

Ini akan berjalan pada semua versi Windows dari XP.

(Saya adalah pembuat perangkat lunak sumber terbuka ini.)