Comment puis-je obtenir un historique des processus en cours d'exécution
Je dois connaître l'historique des processus exécutés sur ma machine Windows et leur date d'exécution. Cependant, je ne peux utiliser aucun logiciel tiers, car je ne peux pas garantir qu'il sera toujours en cours d'exécution.
Est-il possible d'obtenir ces informations uniquement à l'aide de la fonctionnalité intégrée de Windows?
Sûr. Vous pouvez utiliser la journalisation des événements intégrée de Windows (en supposant que vous n'êtes pas sur une édition bon marché qui ne l'ait pas).
- Presse Win+R et tapez gpedit.msc pour ouvrir le gestionnaire de règles de groupe
Dans le volet de gauche, accédez à
Stratégie de l'ordinateur local\Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Stratégie d'audit
Dans le volet de droite, double-cliquez sur "Suivi du processus d'audit" et cochez les deux cases.
À partir de maintenant, toutes les créations et suppressions de processus (ainsi que les tentatives infructueuses) apparaîtront dans le journal de sécurité.
Pour les voir, lancez l'Observateur d'événements. (Appuyez sur la touche Windows et commencez à taper "Observateur d'événements".) Dans le volet de gauche, développez le sous-arbre "Journaux Windows" et cliquez sur "Sécurité". Tous les événements de sécurité seront affichés.
Dans le volet de droite, vous pouvez configurer un filtre pour rechercher des ID d'événement tels que 4688 ou 4689, ou tout autre critère pris en charge.
Vous pourriez envisager pas d'activer la journalisation des échecs puisque vous recherchez "ce qui a été exécuté et quand", et si un processus échoue, alors rien ne s'est exécuté ... mais c'est à vous de décider.
Vous n'êtes pas limité à la simple lecture du journal des événements sur votre écran. Les "tâches planifiées" de Windows peuvent être déclenchées par des entrées du journal des événements correspondant aux critères spécifiés. Vous pouvez également lire le journal des événements avec un script PowerShell (ou, bien sûr, avec un programme ordinaire) et effectuer des tâches en fonction de ce que vous avez trouvé.
NB: La réponse de David Postill donne plus de détails sur certains codes d’événement, etc. Ne l’ignorez pas!
Comment puis-je obtenir un historique des processus en cours d'exécution
Par défaut, il n’existe pas d’historique de ce type et il n’est enregistré nulle part.
Cependant, vous pouvez activer les événements de suivi de processus dans le journal des événements de sécurité Windows.
Cela vous donnera les informations dont vous avez besoin.
Remarques:
La solution nécessite d'apporter des modifications à la stratégie de groupe à l'aide de
gpedit.Malheureusement, l'éditeur de stratégie de groupe (gpedit) n'est pas inclus dans les éditions Starter Edition, Home et Home Premium de Windows.
Voir mes questions et réponses Windows Starter Edition, Home et Home Premium n'incluent pas gpedit, comment puis-je l'installer? pour savoir comment l'installer.
Comment utiliser les événements de suivi de processus dans le journal de sécurité Windows
Sous Windows 2003/XP, vous obtenez ces événements en activant simplement la stratégie d'audit Process Tracking.
Sous Windows 7/2008 +, vous devez activer la création du processus d’audit et, éventuellement, les sous-catégories de fin de processus d’audit que vous trouverez sous Configuration avancée de la stratégie d’audit dans les objets de stratégie de groupe.
Ces événements sont extrêmement précieux car ils fournissent une piste d'audit complète à chaque démarrage d'un exécutable sur le système en tant que processus. Vous pouvez même déterminer la durée d'exécution du processus en liant l'événement de création de processus à l'événement de fin de processus à l'aide de l'ID de processus trouvé dans les deux événements. Des exemples de ces deux événements sont présentés ci-dessous.
Source Comment utiliser les événements de suivi de processus dans le journal de sécurité Windows
Comment activer la création de processus d'audit
Exécuter gpedit.msc
Sélectionnez "Paramètres Windows"> "Paramètres de sécurité"> "Stratégies locales"> "Stratégie d'audit".
![enter image description here]()
Faites un clic droit "Suivi du processus d'audit" et sélectionnez "Propriétés"
Cochez "Succès" et cliquez sur "OK"
![enter image description here]()
Qu'est-ce que le suivi des processus d'audit?
Ce paramètre de sécurité détermine si le système d'exploitation audite des événements liés au processus, tels que la création de processus, la terminaison de processus, la duplication de descripteur et l'accès indirect à un objet.
Si ce paramètre de stratégie est défini, l'administrateur peut spécifier s'il faut auditer uniquement les succès, uniquement les échecs, les succès et les échecs, ou ne pas auditer ces événements du tout (c'est-à-dire, ni succès ni échecs).
Si l'audit de réussite est activé, une entrée d'audit est générée chaque fois que le système d'exploitation effectue l'une de ces activités liées au processus.
Si l'audit d'échec est activé, une entrée d'audit est générée chaque fois que le système d'exploitation ne parvient pas à effectuer l'une de ces activités.
Par défaut: pas d'audit
Important: pour plus de contrôle sur les stratégies d'audit, utilisez les paramètres du nœud Configuration avancée de la stratégie d'audit. Pour plus d'informations sur la configuration de stratégie d'audit avancée, voir http://go.Microsoft.com/fwlink/?LinkId=140969 .