web-dev-qa-db-ja.com

実行中のプロセスの履歴を取得するにはどうすればよいですか

Windowsマシンで実行されたプロセスの履歴と、いつ実行されたかを取得する必要があります。ただし、サードパーティ製のソフトウェアは常に実行できるとは保証できないため、使用できません。

Windowsの組み込み機能のみを使用してこの情報を取得する方法はありますか?

18
zzy

承知しました。 Windowsに組み込まれているイベントログを使用できます(これがない安価なエディションを使用していない場合)。

  1. 押す Win+Rgpedit.mscと入力して、グループポリシーマネージャーを開きます。
  2. 左側のペインで、

    ローカルコンピュータポリシー\コンピュータの構成\ Windows設定\セキュリティ設定\ローカルポリシー\監査ポリシー

  3. 右側のウィンドウで、[監査プロセスの追跡]をダブルクリックし、両方のチェックボックスをオンにします

これ以降、すべてのプロセスの作成と削除(および失敗した試行)がセキュリティログに表示されます。

それらを表示するには、イベントビューアを実行します。 (Windowsキーを押して、「イベントビューア」と入力し始めます。)左側のペインで、「Windowsログ」サブツリーを展開し、「セキュリティ」をクリックします。すべてのセキュリティイベントが表示されます。

右側のウィンドウで、4688や4689などのイベントID、またはサポートされているその他の条件を検索するようにフィルターを設定できます。

「何がいつ実行されたか」を探しているので、失敗のロギングを有効にするnotを検討するかもしれません。プロセスの作成が失敗した場合、何も実行されていません...しかし、それはあなた次第です。

また、画面上のイベントログを読み取るだけではありません。 Windowsの「スケジュールされたタスク」は、指定した基準に一致するイベントログエントリによってトリガーできます。 PowerShellスクリプト(または、もちろん、通常のプログラム)を使用してイベントログを読み取り、検索結果に基づいて操作を行うこともできます。

注:David Postillの回答では、いくつかのイベントコードなどの詳細が示されています。無視しないでください!

22
Jamie Hanrahan

実行中のプロセスの履歴を取得するにはどうすればよいですか

デフォルトでは、そのような履歴はなく、どこにも記録されません。

ただし、Windowsセキュリティイベントログでプロセス追跡イベントを有効にすることができます。

これにより、必要な情報が得られます。

ノート:


Windowsセキュリティログでプロセス追跡イベントを使用する方法

Windows 2003/XPでは、プロセス追跡監査ポリシーを有効にするだけでこれらのイベントを取得できます。

Windows 7/2008以降では、グループポリシーオブジェクトの[詳細な監査ポリシーの構成]にある監査プロセスの作成と、オプションで監査プロセスの終了サブカテゴリを有効にする必要があります。

これらのイベントは、システム上の実行可能ファイルがプロセスとして開始されるたびに包括的な監査証跡を提供するため、非常に貴重です。両方のイベントにあるプロセスIDを使用して、プロセス作成イベントをプロセス終了イベントにリンクすることにより、プロセスの実行時間を判断することもできます。両方のイベントの例を以下に示します。

enter image description here

ソース Windowsセキュリティログでプロセストラッキングイベントを使用する方法


監査プロセスの作成を有効にする方法

  1. Gpedit.mscを実行します。

  2. [Windowsの設定]> [セキュリティの設定]> [ローカルポリシー]> [監査ポリシー]を選択します

    enter image description here

  3. 「監査プロセスの追跡」を右クリックし、「プロパティ」を選択します

  4. 「成功」にチェックを入れ、「OK」をクリックします

    enter image description here


監査プロセス追跡とは

このセキュリティ設定は、OSがプロセスの作成、プロセスの終了、ハンドルの複製、間接的なオブジェクトアクセスなどのプロセス関連のイベントを監査するかどうかを決定します。

このポリシー設定が定義されている場合、管理者は成功のみ、失敗のみ、成功と失敗の両方を監査するか、これらのイベントをまったく監査しないか(つまり、成功も失敗も)を指定できます。

成功の監査が有効になっている場合、OSがこれらのプロセス関連のアクティビティの1つを実行するたびに監査エントリが生成されます。

失敗の監査が有効になっている場合、OSがこれらのアクティビティのいずれかを実行するのに失敗するたびに、監査エントリが生成されます。

デフォルト:監査なし

重要:監査ポリシーをより詳細に制御するには、「拡張監査ポリシー構成」ノードの設定を使用してください。高度な監査ポリシーの構成の詳細については、 http://go.Microsoft.com/fwlink/?LinkId=140969 を参照してください。


参考文献

12
DavidPostill