Bagaimana cara mengetahui program apa yang telah berjalan ketika mereka dihentikan
Secara default tidak ada log dari program apa yang telah dijalankan.
Namun, Anda dapat mengaktifkan Acara Pelacakan Proses di Log Kejadian Keamanan Windows (lihat di bawah untuk instruksi) dan informasi ini akan tersedia untuk Anda di masa mendatang.
Setelah Acara Pelacakan Proses diaktifkan, Anda dapat menggunakan perintah Powershell berikut untuk memeriksa acara:
Mulai Proses:
Get-EventLog Security | Where-Object {$_.EventID -eq 4688} | Format-List
Proses Berhenti:
Get-EventLog Security | Where-Object {$_.EventID -eq 4689} | Format-List
Perintah di atas membuang informasi acara ke layar.
Cara Menggunakan Acara Pelacakan Proses di Log Keamanan Windows
Di Windows 2003 / XP Anda mendapatkan acara ini hanya dengan mengaktifkan kebijakan audit Pelacakan Proses.
Pada Windows 7/2008 + Anda harus mengaktifkan Pembuatan Proses Audit dan, secara opsional, subkategori Pengakhiran Proses Audit yang akan Anda temukan di Konfigurasi Kebijakan Audit Lanjutan di objek kebijakan grup.
Peristiwa ini sangat berharga karena mereka memberikan jejak audit yang komprehensif setiap kali setiap eksekusi pada sistem dimulai sebagai suatu proses . Anda bahkan dapat menentukan berapa lama proses berjalan dengan menghubungkan acara pembuatan proses ke acara penghentian proses menggunakan ID Proses yang ditemukan di kedua acara. Contoh dari kedua acara ditunjukkan di bawah ini.
Sumber Cara Menggunakan Acara Pelacakan Proses di Log Keamanan Windows
Cara mengaktifkan Pembuatan Proses Audit
Jalankan gpedit.msc
Pilih "Pengaturan Windows"> "Pengaturan Keamanan"> "Kebijakan Lokal"> "Kebijakan Audit"
Klik kanan "Pelacakan proses audit" dan pilih "Properti"
Periksa "Sukses" dan klik "OK"
Apa itu Pelacakan Proses Audit
Pengaturan keamanan ini menentukan apakah OS mengaudit kejadian terkait proses seperti pembuatan proses, penghentian proses, menangani duplikasi, dan akses objek tidak langsung.
Jika pengaturan kebijakan ini ditentukan, administrator dapat menentukan apakah akan mengaudit hanya keberhasilan, hanya kegagalan, baik keberhasilan maupun kegagalan, atau untuk tidak mengaudit peristiwa ini sama sekali (yaitu tidak ada keberhasilan maupun kegagalan).
Jika Audit sukses diaktifkan, entri audit dihasilkan setiap kali OS melakukan salah satu dari kegiatan yang berhubungan dengan proses ini.
Jika kegagalan audit diaktifkan, entri audit dihasilkan setiap kali OS gagal melakukan salah satu dari kegiatan ini.
Default: Tidak ada audit
Penting: Untuk kontrol lebih lanjut atas kebijakan audit, gunakan pengaturan di simpul Konfigurasi Kebijakan Audit Lanjutan. Untuk informasi lebih lanjut tentang Konfigurasi Kebijakan Audit Lanjut, lihat
http://go.microsoft.com/fwlink/?LinkId=140969 .
Bagaimana dengan ExecutedProgramList dari Nirsoft? Bisakah saya menggunakannya?
ExecutedProgramList tidak memberikan daftar lengkap program yang telah dieksekusi.
Sebagai contoh, itu tidak mencantumkan program portabel yang saya jalankan dari thumbdrive saya, misalnya Agen, Notepad ++, GSNotes serta hampir setiap program Cygwin yang saya jalankan sejak restart terakhir saya.
Itu tidak akan mencantumkan program apa pun yang tidak menulis apa pun ke lokasi yang disebutkan dalam tautan:
Daftar program yang dieksekusi sebelumnya dikumpulkan dari sumber data berikut:
- Kunci Pendaftaran:
HKEY_CURRENT_USER\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache
- Kunci Pendaftaran:
HKEY_CURRENT_USER\Microsoft\Windows\ShellNoRoam\MUICache
- Kunci Pendaftaran:
HKEY_CURRENT_USER\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted
- Kunci Pendaftaran:
HKEY_CURRENT_USER\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store
- Folder Prefetch Windows (C: \ Windows \ Prefetch)
Sumber ExecutedProgramList
Bacaan lebih lanjut