J'ai besoin d'obtenir un historique des processus qui ont été exécutés sur ma machine Windows, et quand ils ont été exécutés. Cependant, je ne peux pas utiliser de logiciel tiers, car je ne peux pas garantir qu'il sera toujours en cours d'exécution.
Existe-t-il un moyen d'obtenir cette information en utilisant uniquement la fonctionnalité intégrée de Windows ?
Bien sûr. Vous pouvez utiliser le journal des événements intégré à Windows (en supposant que vous n'êtes pas sur une édition bon marché qui ne l'a pas).
Appuyez sur Win + R et le type gpedit.msc pour ouvrir le gestionnaire de politiques de groupe
Dans le volet de gauche, naviguez vers
Politique relative à l'ordinateur local : Configuration de l'ordinateur : Paramètres Windows : Paramètres de sécurité : Politiques locales : Politique d'audit
Dans le volet de droite, double-cliquez sur "Suivi du processus d'audit" et cochez les deux cases suivantes
À partir de maintenant, toutes les créations et suppressions de processus (et les tentatives ratées) apparaîtront dans le journal de sécurité.
Pour les visualiser, exécutez Event Viewer. (Appuyez sur la touche Windows et commencez à taper "Event Viewer".) Dans le volet de gauche, développez le sous-arbre "Windows Logs" et cliquez sur "Security". Tous les événements de sécurité s'affichent.
Dans le volet de droite, vous pouvez configurer un filtre pour rechercher des ID d'événements tels que 4688 ou 4689, ou tout autre critère pris en charge.
Vous pourriez envisager no permettant la journalisation des échecs puisque vous cherchez "ce qui a été exécuté et quand", et si la création d'un processus a échoué, alors rien n'a été exécuté... mais c'est à vous de voir.
Vous n'êtes pas non plus limité à la lecture du journal des événements sur votre écran. Les "tâches planifiées" de Windows peuvent être déclenchées par les entrées du journal des événements qui correspondent aux critères que vous spécifiez. Vous pouvez également lire le journal des événements avec un script PowerShell (ou, bien sûr, avec un programme ordinaire) et faire des choses en fonction de ce que vous trouvez.
N.B. : La réponse de David Postill donne plus de détails sur certains des codes d'événements, etc. Ne l'ignorez pas !
Par défaut, cet historique n'existe pas et n'est enregistré nulle part.
Cependant, vous pouvez activer les événements de suivi de processus dans le journal des événements de sécurité de Windows.
Vous obtiendrez ainsi les informations dont vous avez besoin.
Notas:
La solution nécessite d'apporter des modifications à la stratégie de groupe en utilisant gpedit .
Malheureusement, l'éditeur de stratégie de groupe (gpedit) n'est pas inclus dans les éditions Starter, Home et Home Premium de Windows.
Voir mes questions-réponses Windows Starter Edition, Home et Home Premium n'incluent pas gpedit, comment puis-je l'installer ? pour obtenir des instructions sur la façon de l'installer.
I Tracking audit policy.
Sous Windows 7/2008+, vous devez activer le processus d'audit. et, éventuellement, la sous-catégorie Fin du processus d'audit, que vous trouverez que vous trouverez sous Configuration avancée de la politique d'audit dans les objets.
Ces événements sont incroyablement précieux car ils donnent un aperçu complet une piste d'audit complète de chaque fois qu'un exécutable du système est lancé en tant que processus. Vous pouvez même déterminer la durée d'exécution du processus en reliant l'événement de création de processus à l'événement de fin de processus en utilisant le ID du processus trouvé dans les deux événements. Des exemples des deux événements sont présentés ci-dessous.
Source : Comment utiliser les événements de suivi de processus dans le journal de sécurité de Windows ?
Exécuter gpedit.msc
Sélectionnez "Paramètres Windows" > "Paramètres de sécurité" > "Stratégies locales" > "Politique d'audit".
Cliquez à droite sur "Suivi du processus d'audit" et sélectionnez "Propriétés".
Cochez "Succès" et cliquez sur "OK".
Ce paramètre de sécurité détermine si le système d'exploitation vérifie les pr processus, tels que la création et la fin de processus, la duplication des duplication de handle, et l'accès indirect aux objets.
Si ce paramètre de politique est défini, l'administrateur peut indiquer d'auditer uniquement les succès, uniquement les échecs, à la fois les succès et les les échecs, les succès et les échecs, ou ne pas auditer ces événements du tout (c.-à-d. ni les succès ni les échecs). ni les échecs).
Si l'audit de succès est activé, une entrée d'audit est gène le système d'exploitation effectue l'une de ces activités liées au processus.
Si l'audit des défaillances est activé, une entrée d'audit i le système d'exploitation ne parvient pas à réaliser l'une de ces activités.
Par défaut : Pas d'audit
Important : Pour un contrôle plus poussé des politiques d'audit, utilisez les paramètres dans le nœud Configuration avancée de la politique d'audit. Pour plus d'informations sur la configuration avancée http://go.microsoft.com/fwlink/?LinkId=140969 .
SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.
