Czy są jakieś dzienniki systemu Windows zawierające powiązanie PID z uruchomionym procesem
Domyślnie nie ma takich dzienników. Można jednak włączyć zdarzenia śledzenia procesów w dzienniku zdarzeń zabezpieczeń systemu Windows.
Uwagi:
Jak używać zdarzeń śledzenia procesu w dzienniku zabezpieczeń systemu Windows
W systemie Windows 2003 / XP otrzymujesz te zdarzenia, po prostu włączając zasady inspekcji procesu śledzenia.
W systemie Windows 7/2008 + należy włączyć podkategorię Audit Process Creation i opcjonalnie podkategorie Audit Process Termination, które można znaleźć w sekcji Advanced Audit Policy Configuration w obiektach zasad grupy.
Zdarzenia te są niezwykle cenne, ponieważ dają kompleksową ścieżkę audytu za każdym razem, gdy każdy plik wykonywalny w systemie jest uruchamiany jako proces. Można nawet określić, jak długo przebiegał proces, łącząc zdarzenie tworzenia procesu ze zdarzeniem kończącym proces, używając identyfikatora procesu znalezionego w obu zdarzeniach. Przykłady obu zdarzeń przedstawiono poniżej.
Źródło Jak używać zdarzeń śledzenia procesu w dzienniku zabezpieczeń systemu Windows
Jak włączyć tworzenie procesu kontroli
Uruchom gpedit.msc
Wybierz „Ustawienia systemu Windows”> „Ustawienia zabezpieczeń”> „Zasady lokalne”> „Zasady inspekcji”
Kliknij prawym przyciskiem myszy „Śledź śledzenie procesu” i wybierz „Właściwości”
Zaznacz „Sukces” i kliknij „OK”
Co to jest śledzenie procesu kontroli
To ustawienie zabezpieczeń określa, czy system operacyjny kontroluje zdarzenia związane z procesem, takie jak tworzenie procesów, zakończenie procesu, obsługa duplikacji i pośredni dostęp do obiektów.
Jeśli to ustawienie zasad jest zdefiniowane, administrator może określić, czy kontrolować tylko sukcesy, tylko awarie, zarówno sukcesy, jak i niepowodzenia, lub w ogóle nie kontrolować tych zdarzeń (tj. Ani sukcesów, ani niepowodzeń).
Jeśli włączona jest kontrola sukcesu, wpis kontroli jest generowany za każdym razem, gdy system operacyjny wykonuje jedną z tych czynności związanych z procesem.
Jeśli włączona jest kontrola awarii, wpis kontroli jest generowany za każdym razem, gdy system operacyjny nie wykona jednej z tych czynności.
Domyślnie: brak audytu
Ważne: Aby uzyskać większą kontrolę nad zasadami inspekcji, użyj ustawień w węźle Zaawansowana konfiguracja zasad inspekcji. Aby uzyskać więcej informacji na temat konfiguracji zaawansowanych zasad inspekcji, zobacz
http://go.microsoft.com/fwlink/?LinkId=140969 .
wevtutil. Jest to łatwiejsze niż korzystanie z GUI Podglądu zdarzeń.Jedynym sposobem, aby to zobaczyć, jest włączenie kontroli, aby śledzić tworzenie procesów.
Z programu „Local Security Policy” (Wpisz
secpol.mscna ekranie uruchamiania, jeśli masz problemy z jego odnalezieniem), przejdź do „Security Settings -> Local Polices -> Audit Policy”, a następnie włącz „Audit process tracking” dla „Success”.Gdy to zrobisz, przejdź do przeglądarki zdarzeń i sprawdź dziennik zdarzeń „Secruity”, tam zobaczysz wpisy „Sukces audytu” za każdym razem, gdy proces zostanie rozpoczęty lub zakończony.
Proces zakończył się. Przedmiot: ID bezpieczeństwa: SYSTEM Nazwa konta: SCOTT-PC $ Domena konta: GRUPA ROBOCZA Identyfikator logowania: 0x3E7 Przetwarzać informacje: Identyfikator procesu: 0x1338 Nazwa procesu: C: Windows System32 enable.exe Status wyjścia: 0x0Konieczne będzie przekonwertowanie szukanego identyfikatora procesu z dziesiętnego na szesnastkowy (3336 zmieni się na 0xD08). Najprostszym sposobem konwersji jest otwarty kalkulator systemu Windows, przejdź do trybu „Programmer”, wprowadź liczbę w trybie „dec”, a następnie kliknij tryb „hex”. Wyświetlany numer zostanie przekonwertowany na heks dla ciebie.
źródło
Jeśli jest to jeden raz i nie chcesz zawsze rejestrować swoich procesów, sugerowałbym użycie Microsoft Process Monitor ( https://technet.microsoft.com/en-us/Library/bb896645.aspx ). Musi być uruchamiany przed pojawieniem się popularnego, ale nawet po zakończeniu procesu nadrzędnego przechwyci wszystkie informacje, których szukałeś.
źródło