Windows makinemde hangi işlemlerin çalıştığını ve ne zaman çalıştırıldıklarını öğrenmem gerekiyor. Ancak, herhangi bir üçüncü taraf yazılımı kullanamıyorum, çünkü her zaman çalışacağını garanti edemiyorum.
Bu bilgileri yalnızca Windows yerleşik işlevini kullanarak almanın bir yolu var mı?
Yanıtlar:
Elbette. Windows'un yerleşik olay günlüğünü kullanabilirsiniz (buna sahip olmayan ucuz bir sürümde bulunmadığınızı varsayarak).
Sol bölmede şuraya gidin:
Yerel Bilgisayar İlkesi \ Bilgisayar Yapılandırması \ Windows Ayarları \ Güvenlik Ayarları \ Yerel İlkeler \ Denetim İlkesi
Sağ bölmede, "İşlem takibini denetle" yi çift tıklayın ve her iki kutuyu da işaretleyin
Şu andan itibaren, tüm işlem oluşturma ve silme işlemleri (ve aynı anda başarısız girişimler) Güvenlik günlüğünde görünecektir.
Bunları görüntülemek için Olay Görüntüleyicisi'ni çalıştırın. (Windows tuşuna basın ve "Olay Görüntüleyicisi" yazmaya başlayın.) Sol bölmede "Windows Günlükleri" alt ağacını genişletin ve "Güvenlik" i tıklayın. Tüm güvenlik olayları görüntülenecektir.
Sağ bölmede, 4688 veya 4689 gibi olay kimliklerini veya desteklenen diğer ölçütleri aramak için bir Filtre ayarlayabilirsiniz.
Düşünebilirsiniz değil siz "Ne çalıştırdığınızda ve gelmiştir" aradığınız beri başarısızlık günlüğü sağlayan ve bir süreç oluşturma başarısız olursa, o zaman hiçbir şey tükendi ... ama bu size kalmış.
Sadece ekranınızdaki olay günlüğünü okumakla sınırlı değilsiniz. Windows "Zamanlanmış görevler", belirttiğiniz ölçütlerle eşleşen olay günlüğü girdileri tarafından tetiklenebilir. Ayrıca olay günlüğünü bir PowerShell betiğiyle (veya tabii ki sıradan bir programla) okuyabilir ve bulduklarınıza göre şeyler yapabilirsiniz.
Not: David Postill'in yanıtı, bazı olay kodları, vb. Hakkında daha ayrıntılı bilgi verir.
Varsayılan olarak böyle bir geçmiş yoktur ve hiçbir yere kaydedilmez.
Ancak, İşlem İzleme Olaylarını Windows Güvenlik Olay Günlüğü'nde etkinleştirebilirsiniz.
Bu size gereken bilgileri verecektir.
Notlar:
Çözüm, kullanarak Grup İlkesinde değişiklik yapılmasını gerektirir gpedit.
Maalesef, Grup İlkesi Düzenleyicisi (gpedit) Windows'un Başlangıç Sürümü, Ev ve Ev Premium sürümlerine dahil değildir.
Q&A Windows Başlangıç Sürümü, Home ve Home Premium'umun gpedit içermediğini görün, nasıl yüklerim? nasıl kurulacağına ilişkin talimatlar için.
Windows 2003 / XP'de bu olayları yalnızca İşlem İzleme denetim ilkesini etkinleştirerek alırsınız.
Windows 7/2008 + 'da, Grup İlkesi nesnelerinde Gelişmiş Denetim İlkesi Yapılandırması altında bulacağınız Denetim Süreci Oluşturma ve isteğe bağlı olarak Denetim Süreci Sonlandırma alt kategorilerini etkinleştirmeniz gerekir.
Bu olaylar inanılmaz derecede değerlidir, çünkü sistemdeki herhangi bir yürütülebilir dosya bir işlem olarak başlatıldığında kapsamlı bir denetim izi sağlarlar. Her iki olayda bulunan İşlem Kimliğini kullanarak işlem oluşturma olayını işlem sonlandırma olayına bağlayarak sürecin ne kadar sürdüğünü bile belirleyebilirsiniz. Her iki olaya ilişkin örnekler aşağıda gösterilmiştir.
Kaynak Windows Güvenlik Günlüğünde İşlem İzleme Olaylarını Kullanma
Gpedit.msc dosyasını çalıştırın
"Windows Ayarları"> "Güvenlik Ayarları"> "Yerel İlkeler"> "Denetim İlkesi" ni seçin
"Denetim takibi" ni sağ tıklayın ve "Özellikler" i seçin
"Başarılı" seçeneğini işaretleyin ve "Tamam" ı tıklayın
Bu güvenlik ayarı, işletim sisteminin süreç oluşturma, işlem sonlandırma, tanıtıcı çoğaltma ve dolaylı nesne erişimi gibi süreçle ilgili olayları denetleyip denetlemediğini belirler.
Bu ilke ayarı tanımlanmışsa, yönetici yalnızca başarıların, yalnızca başarısızlıkların, hem başarıların hem de başarısızlıkların denetlenip denetlenmeyeceğini ya da bu olayların hiç denetlenmeyeceğini (örneğin, ne başarılar ne de başarısızlıklar) belirleyebilir.
Başarı denetimi etkinleştirilirse, işletim sistemi bu işlemle ilgili etkinliklerden birini her gerçekleştirdiğinde bir denetim girişi oluşturulur.
Hata denetimi etkinse, işletim sistemi bu etkinliklerden birini gerçekleştiremediğinde bir denetim girişi oluşturulur.
Varsayılan: Denetim yok
Önemli: Denetim ilkeleri üzerinde daha fazla denetim için, Gelişmiş Denetim İlkesi Yapılandırma düğümündeki ayarları kullanın. Gelişmiş Denetim İlkesi Yapılandırması hakkında daha fazla bilgi için, bkz. Http://go.microsoft.com/fwlink/?LinkId=140969 .
