Saya perlu mendapatkan riwayat proses yang telah berjalan di mesin Windows saya, dan ketika mereka dijalankan. Namun, saya tidak dapat menggunakan perangkat lunak pihak ketiga, karena saya tidak dapat menjamin bahwa itu akan selalu berjalan.
Apakah ada cara untuk mendapatkan informasi ini hanya dengan menggunakan fungsionalitas bawaan Windows?
Jawaban:
Tentu. Anda dapat menggunakan pencatatan peristiwa bawaan Windows (dengan asumsi Anda tidak menggunakan edisi murah yang tidak memilikinya).
Di panel kiri, navigasikan ke
Kebijakan Komputer Lokal \ Konfigurasi Komputer \ Pengaturan Windows \ Pengaturan Keamanan \ Kebijakan Lokal \ Kebijakan Audit
Di panel kanan, klik dua kali "Pelacakan proses audit" dan centang kedua kotak
Mulai sekarang, semua kreasi dan penghapusan proses (dan upaya yang gagal pada saat yang sama) akan muncul di log Keamanan.
Untuk melihatnya, jalankan Event Viewer. (Tekan tombol Windows dan mulai mengetik "Event Viewer".) Di panel kiri rentangkan sub-tree "Windows Logs" dan klik "Security". Semua acara keamanan akan ditampilkan.
Di panel kanan Anda dapat mengatur Filter untuk mencari ID acara seperti 4688 atau 4689, atau kriteria lain yang didukung.
Anda mungkin mempertimbangkan untuk tidak mengaktifkan pencatatan kegagalan karena Anda mencari "apa yang telah berjalan dan kapan", dan jika suatu proses gagal, maka tidak ada yang berjalan ... tetapi itu terserah Anda.
Anda tidak terbatas hanya membaca log peristiwa di layar Anda, baik. "Tugas terjadwal" Windows dapat dipicu oleh entri log peristiwa yang cocok dengan kriteria yang Anda tentukan. Anda juga dapat membaca log peristiwa dengan skrip PowerShell (atau, tentu saja, dengan program biasa) dan melakukan hal-hal berdasarkan apa yang Anda temukan.
NB: Jawaban David Postill memberikan lebih banyak detail pada beberapa kode acara, dll. Jangan abaikan!
Secara default tidak ada riwayat seperti itu dan tidak dicatat di mana pun.
Namun Anda dapat mengaktifkan Acara Pelacakan Proses di Log Kejadian Keamanan Windows.
Ini akan memberi Anda informasi yang Anda butuhkan.
Catatan:
Solusi ini mengharuskan Anda membuat perubahan pada Kebijakan Grup menggunakan gpedit.
Sayangnya Editor Kebijakan Grup (gpedit) tidak termasuk dalam Edisi Pemula, edisi Home dan Home Premium Windows.
Lihat T&J Windows Starter Edition, Home dan Home Premium saya tidak termasuk gpedit, bagaimana cara menginstalnya? untuk petunjuk tentang cara menginstalnya.
Di Windows 2003 / XP Anda mendapatkan acara ini hanya dengan mengaktifkan kebijakan audit Pelacakan Proses.
Pada Windows 7/2008 + Anda harus mengaktifkan Pembuatan Proses Audit dan, secara opsional, subkategori Pengakhiran Proses Audit yang akan Anda temukan di Konfigurasi Kebijakan Audit Lanjutan di objek kebijakan grup.
Peristiwa ini sangat berharga karena memberikan jejak audit yang komprehensif setiap kali setiap eksekusi pada sistem dimulai sebagai suatu proses. Anda bahkan dapat menentukan berapa lama proses berjalan dengan menautkan acara pembuatan proses ke acara penghentian proses menggunakan ID Proses yang ditemukan di kedua acara. Contoh dari kedua acara ditunjukkan di bawah ini.
Sumber Cara Menggunakan Acara Pelacakan Proses di Log Keamanan Windows
Jalankan gpedit.msc
Pilih "Pengaturan Windows"> "Pengaturan Keamanan"> "Kebijakan Lokal"> "Kebijakan Audit"
Klik kanan "Pelacakan proses audit" dan pilih "Properti"
Periksa "Sukses" dan klik "OK"
Pengaturan keamanan ini menentukan apakah OS mengaudit kejadian terkait proses seperti pembuatan proses, penghentian proses, menangani duplikasi, dan akses objek tidak langsung.
Jika pengaturan kebijakan ini ditentukan, administrator dapat menentukan apakah hanya akan mengaudit keberhasilan, hanya kegagalan, baik keberhasilan maupun kegagalan, atau untuk tidak mengaudit peristiwa ini sama sekali (yaitu tidak ada keberhasilan maupun kegagalan).
Jika Audit sukses diaktifkan, entri audit dihasilkan setiap kali OS melakukan salah satu dari kegiatan yang berhubungan dengan proses ini.
Jika audit Kegagalan diaktifkan, entri audit dihasilkan setiap kali OS gagal melakukan salah satu dari kegiatan ini.
Default: Tidak ada audit
Penting: Untuk kontrol lebih lanjut atas kebijakan audit, gunakan pengaturan di simpul Konfigurasi Kebijakan Audit Lanjutan. Untuk informasi lebih lanjut tentang Konfigurasi Kebijakan Audit Lanjut, lihat http://go.microsoft.com/fwlink/?LinkId=140969 .
