Apakah program log Windows yang telah dijalankan / dipanggil?

36

Di Windows, apakah ada log yang merekam program apa yang dijalankan / dipanggil?

Saat menjelajah internet, melihat halaman statis tanpa iklan, klik mouse, penekanan tombol, atau berbagai plugin / add-on / skrip berjalan, saya baru saja melihat konsol spontan CMD.exe terbuka dan kemudian segera ditutup dalam sekejap, cukup cepat sehingga saya tidak dapat melihat apa pun di jendela - dan tanpa pemicu yang jelas pada bagian saya.

Saya bertanya-tanya apakah ada beberapa jenis log Windows yang menunjukkan program apa yang telah dijalankan / dipanggil / diaktifkan? Saya ingin melihat apa yang terjadi di balik layar ketika jendela konsol ini menyala, dan mudah-mudahan menentukan bahwa itu bukan sesuatu yang jahat.

Sebagai referensi, saya menjalankan Windows 7 Ultimate x64.

windows-7 windows command-line logging event-log Coldblackice
sumber
Apakah ini saat startup atau Anda menginstal sesuatu?
Jan Doggen
Saya hanya browsing internet - dan bahkan tidak aktif. Saya sedang membaca halaman web statis yang sudah dimuat, tanpa klik, penekanan tombol, atau permintaan diajukan. Saya mengedit pertanyaan sekarang untuk memperbaikinya, karena saya benar-benar bertanya apakah ada beberapa jenis program log / inisiasi, dan khususnya, prompt perintah.
Coldblackice
Coba lihat di penampil acara Windows.
stderr
@JanDoggen Saat itu tengah hari, tidak ada yang dekat dengan startup, shutdowns, reboot, atau instalasi. Saya baru saja membaca di browser saya di halaman yang sudah dimuat, dengan semua popup / iklan / skrip dinonaktifkan, tanpa scan virus / pembaruan dijadwalkan. Selain itu, saya bisa melihat bahwa itu adalah jendela command prompt yang menyala dan kemudian menghilang.
Coldblackice
1
Baru saja menghadapi masalah yang sama dan mengalami pertanyaan Anda, apakah Anda sudah tahu apa itu?
paman Lem

Jawaban:

29

Anda tidak akan dapat memeriksa apa yang berjalan, tetapi Anda dapat mempersiapkan untuk waktu berikutnya. Jika Anda membuka, secpol.mscAnda bisa pergi ke local policies/audit policy. Aktifkan Success(dan mungkin juga Failure) pada Audit process trackingdan Anda akan mendapatkan entri log peristiwa di log peristiwa keamanan setiap kali proses dimulai atau berakhir. Sayangnya Anda akan melihat proses yang berjalan tetapi bukan baris perintah yang dimulai.

Jika Anda mengaktifkan audit, banyak log mungkin dihasilkan, jadi Anda harus menyesuaikan ukuran log peristiwa keamanan.

Anda dapat mengakses log dengan eventvwr.msc, protokol Windows, Keamanan.

Werner Henze
sumber
Jika saya tidak melihat baris perintah, lalu apa yang akan saya lihat?
Dims
@Dims Jika "notepad myfile.txt" dimulai maka Anda akan melihat "notepad" tetapi bukan "myfile.txt".
Werner Henze
@WernerHenze, Pokoknya melakukan ini di komputer rumah? ... Windows tidak dapat menemukansecpol.msc
Pacerier
@Pacerier Versi / edisi Windows yang mana?
Werner Henze
di mana log berada?
tisaconundrum
10

Mark Russinovich Sysinternals Process Monitor melakukan itu. Di antara akses pelacakan file / reg / jaringan, ia dapat melacak masa pakai proc / thread dan memungkinkan banyak penyaringan.

Val
sumber
1
Apakah ini harus sudah berjalan untuk menangkap proses yang dibuka? Atau mungkinkah melaporkan masa utas independen dari pelacakan Procmon?
Coldblackice
Apa "ini" yang terlepas dari pmon? Apakah maksud Anda pemantauan tanpa monitor? Bagaimana Anda membayangkan ini?
Val
1
Apa yang saya maksudkan - apakah Monitor Proses harus sudah berjalan untuk melacak masa pakai proc / thread, atau apakah itu disimpan secara global independen dari Process Monitor?
Coldblackice
2
Monitor Proses adalah apa yang dikatakannya - monitor. Ini bukan Windows Log Viewer. Ini menyuntikkan beberapa driver ke fungsi inti windows dan mencatat panggilannya. Anda tidak dapat memantau tanpa monitor. Baik?
Val
1
Ups - Saya bingung Proses Monitor dengan Process Explorer - Process Explorer dapat melihat waktu proses mulai / berjalan tanpa aktif (pemantauan) ketika masing-masing program dimulai. Saya pikir itu adalah Process Explorer yang sedang Anda bicarakan. Terima kasih.
Coldblackice
2

Ini mungkin tugas terjadwal yang berjalan. Periksa Penjadwal Tugas untuk tugas-tugas.

Anda juga dapat memeriksa Peraga Peristiwa untuk apa pun, meskipun mungkin tidak memiliki apa pun.


sumber
-2

Sama di sini Windows 7 Ultimate x64 (Spanyol).

Saya menemukan bahwa pelakunya adalah: C: \ Program Files (x86) \ Microsoft Office \ root \ Office16 \ officebackgroundtaskhandler.exe

Rupanya itu adalah bug Know.

Jorge Ramirez
sumber
Ini mungkin bukan masalah yang dihadapi oleh poster asli, namun ketika saya mengaktifkan audit logging untuk proses (seperti yang disarankan oleh Werner Herze) ternyata ini adalah masalah dalam kasus saya. Pada Mei 2017, ini akan diperbaiki dalam pembaruan Windows mendatang "segera". Jika masalah tetap ada setelah memperbarui Windows (dan Anda dari masa depan) ini mungkin bukan masalah Anda.
user2711915