Wie kann ich einen Verlauf von laufenden Prozessen abrufen [duplizieren]

Ich möchte einen Verlauf darüber erhalten, welche Prozesse auf meinem Windows-Computer ausgeführt wurden und wann sie ausgeführt wurden. Ich kann jedoch keine Software von Drittanbietern verwenden, da ich nicht garantieren kann, dass diese immer ausgeführt wird.

Gibt es eine Möglichkeit, diese Informationen nur mit der in Windows integrierten Funktionalität abzurufen?

Sicher. Sie können die integrierte Ereignisprotokollierung von Windows verwenden (vorausgesetzt, Sie verwenden keine kostengünstige Edition, die diese nicht enthält).

1. Drücken Sie Win+ Rund Typ gpedit.msc Öffnen Sie die Gruppenrichtlinien - Manager

2. Navigieren Sie im linken Bereich zu

   Lokale Computerrichtlinie \ Computerkonfiguration \ Windows-Einstellungen \ Sicherheitseinstellungen \ Lokale Richtlinien \ Überwachungsrichtlinie

3. Doppelklicken Sie im rechten Fensterbereich auf "Audit Process Tracking" und aktivieren Sie beide Kontrollkästchen

Von nun an werden alle Prozesserstellungen und -löschungen (und alle fehlgeschlagenen Versuche gleichzeitig) im Sicherheitsprotokoll angezeigt.

Führen Sie die Ereignisanzeige aus, um sie anzuzeigen. (Drücken Sie die Windows-Taste und geben Sie "Ereignisanzeige" ein.) Erweitern Sie im linken Bereich den Unterbaum "Windows-Protokolle" und klicken Sie auf "Sicherheit". Alle Sicherheitsereignisse werden angezeigt.

Im rechten Bereich können Sie einen Filter einrichten, um nach Ereignis-IDs wie 4688 oder 4689 oder anderen unterstützten Kriterien zu suchen.

Sie können in Betracht ziehen , die Protokollierung von Fehlern nicht zu aktivieren, da Sie nach "Was wurde ausgeführt und wann" suchen. Wenn eine Prozesserstellung fehlgeschlagen ist, wurde nichts ausgeführt. Aber das liegt bei Ihnen.

Sie können auch nicht nur das Ereignisprotokoll auf Ihrem Bildschirm lesen. Windows "Geplante Aufgaben" können durch Ereignisprotokolleinträge ausgelöst werden, die den von Ihnen angegebenen Kriterien entsprechen. Sie können das Ereignisprotokoll auch mit einem PowerShell-Skript (oder natürlich mit einem normalen Programm) lesen und die gewünschten Aktionen ausführen.

NB: Die Antwort von David Postill enthält detailliertere Informationen zu einigen Ereigniscodes usw. Ignorieren Sie sie nicht!

Wie kann ich eine Historie der laufenden Prozesse erhalten

Standardmäßig gibt es keinen solchen Verlauf und er wird nirgendwo protokolliert.

Sie können jedoch Prozessverfolgungsereignisse im Windows-Sicherheitsereignisprotokoll aktivieren.

Dadurch erhalten Sie die Informationen, die Sie benötigen.

Anmerkungen:

• Die Lösung erfordert Änderungen an der Gruppenrichtlinie mit gpedit.

• Leider ist der Gruppenrichtlinien-Editor (gpedit) in den Windows-Editionen Starter Edition, Home und Home Premium nicht enthalten.

• In meinen Fragen und Antworten zu Windows Starter Edition, Home und Home Premium ist gpedit nicht enthalten. Wie installiere ich es? Anweisungen zur Installation finden Sie hier.

Verwendung von Prozessverfolgungsereignissen im Windows-Sicherheitsprotokoll

In Windows 2003 / XP erhalten Sie diese Ereignisse, indem Sie einfach die Überwachungsrichtlinie für die Prozessverfolgung aktivieren.

In Windows 7/2008 + müssen Sie die Unterkategorien Audit Process Creation und optional Audit Process Termination aktivieren, die Sie unter Advanced Audit Policy Configuration in Gruppenrichtlinienobjekten finden.

Diese Ereignisse sind unglaublich wertvoll, da sie einen umfassenden Prüfpfad für jedes Mal bereitstellen, wenn eine ausführbare Datei auf dem System als Prozess gestartet wird. Sie können sogar bestimmen, wie lange der Prozess ausgeführt wurde, indem Sie das Prozesserstellungsereignis mit dem Prozessbeendigungsereignis verknüpfen, indem Sie die in beiden Ereignissen festgestellte Prozess-ID verwenden. Beispiele für beide Ereignisse sind unten aufgeführt.

Quelle Verwendung von Prozessverfolgungsereignissen im Windows-Sicherheitsprotokoll

So aktivieren Sie die Audit-Prozess-Erstellung

1. Führen Sie gpedit.msc aus

2. Wählen Sie "Windows-Einstellungen"> "Sicherheitseinstellungen"> "Lokale Richtlinien"> "Überwachungsrichtlinie"

   

3. Klicken Sie mit der rechten Maustaste auf "Audit Process Tracking" und wählen Sie "Eigenschaften".

4. Überprüfen Sie "Erfolg" und klicken Sie auf "OK"

   

Was ist Audit Process Tracking?

Diese Sicherheitseinstellung legt fest, ob das Betriebssystem prozessbezogene Ereignisse wie das Erstellen von Prozessen, das Beenden von Prozessen, das Verarbeiten von Duplikaten und den indirekten Objektzugriff überwacht.

Wenn diese Richtlinieneinstellung definiert ist, kann der Administrator angeben, ob nur Erfolge und nur Fehler, sowohl Erfolge als auch Fehler, oder ob diese Ereignisse überhaupt nicht (dh weder Erfolge noch Fehler) überwacht werden sollen.

Wenn die Erfolgsüberwachung aktiviert ist, wird jedes Mal ein Überwachungseintrag generiert, wenn das Betriebssystem eine dieser prozessbezogenen Aktivitäten ausführt.

Wenn die Fehlerüberwachung aktiviert ist, wird jedes Mal ein Überwachungseintrag generiert, wenn das Betriebssystem eine dieser Aktivitäten nicht ausführt.

Standardeinstellung: Keine Überwachung

Wichtig: Um mehr Kontrolle über Überwachungsrichtlinien zu erhalten, verwenden Sie die Einstellungen im Knoten Erweiterte Überwachungsrichtlinienkonfiguration. Weitere Informationen zur erweiterten Konfiguration von Überwachungsrichtlinien finden Sie unter http://go.microsoft.com/fwlink/?LinkId=140969 .

Weitere Lektüre

• Windows-Sicherheitsprotokoll-Enzyklopädie