Bagaimana saya bisa mendapatkan riwayat proses yang sedang berjalan [duplikat]

16

Saya perlu mendapatkan riwayat proses yang telah berjalan di mesin Windows saya, dan ketika mereka dijalankan. Namun, saya tidak dapat menggunakan perangkat lunak pihak ketiga, karena saya tidak dapat menjamin bahwa itu akan selalu berjalan.

Apakah ada cara untuk mendapatkan informasi ini hanya dengan menggunakan fungsionalitas bawaan Windows?

zzy
sumber

Jawaban:

21

Tentu. Anda dapat menggunakan pencatatan peristiwa bawaan Windows (dengan asumsi Anda tidak menggunakan edisi murah yang tidak memilikinya).

  1. Tekan Win+ Rdan ketik gpedit.msc untuk membuka manajer kebijakan grup
  2. Di panel kiri, navigasikan ke

    Kebijakan Komputer Lokal \ Konfigurasi Komputer \ Pengaturan Windows \ Pengaturan Keamanan \ Kebijakan Lokal \ Kebijakan Audit

  3. Di panel kanan, klik dua kali "Pelacakan proses audit" dan centang kedua kotak

Mulai sekarang, semua kreasi dan penghapusan proses (dan upaya yang gagal pada saat yang sama) akan muncul di log Keamanan.

Untuk melihatnya, jalankan Event Viewer. (Tekan tombol Windows dan mulai mengetik "Event Viewer".) Di panel kiri rentangkan sub-tree "Windows Logs" dan klik "Security". Semua acara keamanan akan ditampilkan.

Di panel kanan Anda dapat mengatur Filter untuk mencari ID acara seperti 4688 atau 4689, atau kriteria lain yang didukung.

Anda mungkin mempertimbangkan untuk tidak mengaktifkan pencatatan kegagalan karena Anda mencari "apa yang telah berjalan dan kapan", dan jika suatu proses gagal, maka tidak ada yang berjalan ... tetapi itu terserah Anda.

Anda tidak terbatas hanya membaca log peristiwa di layar Anda, baik. "Tugas terjadwal" Windows dapat dipicu oleh entri log peristiwa yang cocok dengan kriteria yang Anda tentukan. Anda juga dapat membaca log peristiwa dengan skrip PowerShell (atau, tentu saja, dengan program biasa) dan melakukan hal-hal berdasarkan apa yang Anda temukan.

NB: Jawaban David Postill memberikan lebih banyak detail pada beberapa kode acara, dll. Jangan abaikan!

Jamie Hanrahan
sumber
Bagaimana jika saya tidak dapat memiliki "gpedit.msc"?
pengembang android
Anda berada di edisi Home?
Jamie Hanrahan
Iya. Saya ada di edisi rumah. Apakah mungkin ada aplikasi untuk melakukannya?
pengembang android
1
Saya menemukan ini, yang menyediakan skrip .bat untuk diunduh. Itu tidak terlihat seperti sesuatu yang berbahaya. Anda harus menjalankannya dari command prompt yang ditinggikan. (mis. jalankan cmd.exe sebagai Administrator) Ada beberapa laporan tentang kesuksesan dan beberapa kegagalan ... semoga berhasil. itechtics.com/...
Jamie Hanrahan
Wow. Tidak tahu ini mungkin. Terima kasih. Berhasil
pengembang android
12

Bagaimana saya bisa mendapatkan riwayat proses yang sedang berjalan

Secara default tidak ada riwayat seperti itu dan tidak dicatat di mana pun.

Namun Anda dapat mengaktifkan Acara Pelacakan Proses di Log Kejadian Keamanan Windows.

Ini akan memberi Anda informasi yang Anda butuhkan.

Catatan:


Cara Menggunakan Acara Pelacakan Proses di Log Keamanan Windows

Di Windows 2003 / XP Anda mendapatkan acara ini hanya dengan mengaktifkan kebijakan audit Pelacakan Proses.

Pada Windows 7/2008 + Anda harus mengaktifkan Pembuatan Proses Audit dan, secara opsional, subkategori Pengakhiran Proses Audit yang akan Anda temukan di Konfigurasi Kebijakan Audit Lanjutan di objek kebijakan grup.

Peristiwa ini sangat berharga karena memberikan jejak audit yang komprehensif setiap kali setiap eksekusi pada sistem dimulai sebagai suatu proses. Anda bahkan dapat menentukan berapa lama proses berjalan dengan menautkan acara pembuatan proses ke acara penghentian proses menggunakan ID Proses yang ditemukan di kedua acara. Contoh dari kedua acara ditunjukkan di bawah ini.

masukkan deskripsi gambar di sini

Sumber Cara Menggunakan Acara Pelacakan Proses di Log Keamanan Windows


Cara mengaktifkan Pembuatan Proses Audit

  1. Jalankan gpedit.msc

  2. Pilih "Pengaturan Windows"> "Pengaturan Keamanan"> "Kebijakan Lokal"> "Kebijakan Audit"

    masukkan deskripsi gambar di sini

  3. Klik kanan "Pelacakan proses audit" dan pilih "Properti"

  4. Periksa "Sukses" dan klik "OK"

    masukkan deskripsi gambar di sini


Apa itu Pelacakan Proses Audit

Pengaturan keamanan ini menentukan apakah OS mengaudit kejadian terkait proses seperti pembuatan proses, penghentian proses, menangani duplikasi, dan akses objek tidak langsung.

Jika pengaturan kebijakan ini ditentukan, administrator dapat menentukan apakah hanya akan mengaudit keberhasilan, hanya kegagalan, baik keberhasilan maupun kegagalan, atau untuk tidak mengaudit peristiwa ini sama sekali (yaitu tidak ada keberhasilan maupun kegagalan).

Jika Audit sukses diaktifkan, entri audit dihasilkan setiap kali OS melakukan salah satu dari kegiatan yang berhubungan dengan proses ini.

Jika audit Kegagalan diaktifkan, entri audit dihasilkan setiap kali OS gagal melakukan salah satu dari kegiatan ini.

Default: Tidak ada audit

Penting: Untuk kontrol lebih lanjut atas kebijakan audit, gunakan pengaturan di simpul Konfigurasi Kebijakan Audit Lanjutan. Untuk informasi lebih lanjut tentang Konfigurasi Kebijakan Audit Lanjut, lihat http://go.microsoft.com/fwlink/?LinkId=140969 .


Bacaan lebih lanjut

DavidPostill
sumber
David, mengapa Anda memposting ulang sebagian dari jawaban Anda sendiri , alih-alih menutup pertanyaan sebagai duplikat?
Dmitry Grigoryev
1
@DmitryGrigoryev Saya sebenarnya memposting ulang bagian dari Bagaimana mengidentifikasi proses Windows yang dihentikan jika saya masih memiliki PID-nya? yang bukan merupakan duplikat dari pertanyaan ini. Saya telah menandai yang ini sebagai penipuan;)
DavidPostill