Necesito obtener un historial de qué procesos se han ejecutado en mi máquina Windows y cuándo se ejecutaron. Sin embargo, no puedo usar ningún software de terceros, ya que no puedo garantizar que siempre se esté ejecutando.
¿Hay alguna forma de obtener esta información solo con la funcionalidad integrada de Windows?
Respuestas:
Seguro. Puede usar el registro de eventos incorporado de Windows (suponiendo que no esté en una edición barata que no lo tenga).
En el panel izquierdo, navegue hasta
Política del equipo local \ Configuración del equipo \ Configuración de Windows \ Configuración de seguridad \ Políticas locales \ Política de auditoría
En el panel derecho, haga doble clic en "Seguimiento del proceso de auditoría" y marque ambas casillas.
A partir de ahora, todas las creaciones y eliminaciones de procesos (e intentos fallidos al mismo tiempo) aparecerán en el registro de Seguridad.
Para verlos, ejecute el Visor de eventos. (Presione la tecla de Windows y comience a escribir "Visor de eventos"). En el panel izquierdo, expanda el subárbol "Registros de Windows" y haga clic en "Seguridad". Se mostrarán todos los eventos de seguridad.
En el panel derecho, puede configurar un Filtro para buscar ID de eventos como 4688 o 4689, o cualquier otro criterio admitido.
Puede considerar no habilitar el registro de fallas ya que está buscando "qué se ejecutó y cuándo", y si la creación de un proceso falló, entonces nada se ha ejecutado ... pero eso depende de usted.
Tampoco está limitado a solo leer el registro de eventos en su pantalla. Las "tareas programadas" de Windows pueden activarse mediante entradas de registro de eventos que coinciden con los criterios que especifique. También puede leer el registro de eventos con un script de PowerShell (o, por supuesto, con un programa ordinario) y hacer cosas según lo que encuentre.
NB: la respuesta de David Postill da más detalles sobre algunos de los códigos de eventos, etc. ¡No lo ignore!
Por defecto, no existe dicho historial y no se registra en ningún lado.
Sin embargo, puede habilitar los eventos de seguimiento de procesos en el registro de eventos de seguridad de Windows.
Esto le dará la información que necesita.
Notas:
La solución requiere realizar cambios en la Política de grupo mediante gpedit.
Lamentablemente, el Editor de directivas de grupo (gpedit) no se incluye con las ediciones Starter Edition, Home y Home Premium de Windows.
Consulte mis preguntas y respuestas sobre Windows Starter Edition, Home y Home Premium no incluyen gpedit, ¿cómo lo instalo? para obtener instrucciones sobre cómo instalarlo.
En Windows 2003 / XP, obtiene estos eventos simplemente habilitando la política de auditoría de Seguimiento de procesos.
En Windows 7/2008 +, debe habilitar la creación del proceso de auditoría y, opcionalmente, las subcategorías de terminación del proceso de auditoría que encontrará en Configuración avanzada de la política de auditoría en los objetos de la política de grupo.
Estos eventos son increíblemente valiosos porque brindan una pista de auditoría exhaustiva de cada vez que se inicia un ejecutable en el sistema como un proceso. Incluso puede determinar cuánto tiempo se ejecutó el proceso al vincular el evento de creación del proceso con el evento de finalización del proceso utilizando la ID de proceso que se encuentra en ambos eventos. A continuación se muestran ejemplos de ambos eventos.
Fuente Cómo utilizar los eventos de seguimiento de procesos en el registro de seguridad de Windows
Ejecute gpedit.msc
Seleccione "Configuración de Windows"> "Configuración de seguridad"> "Políticas locales"> "Política de auditoría"
Haga clic derecho en "Seguimiento del proceso de auditoría" y seleccione "Propiedades"
Marque "Éxito" y haga clic en "Aceptar"
Esta configuración de seguridad determina si el sistema operativo audita los eventos relacionados con el proceso, como la creación del proceso, la finalización del proceso, la duplicación del identificador y el acceso indirecto a objetos.
Si se define esta configuración de política, el administrador puede especificar si auditar solo los éxitos, solo los fracasos, tanto los éxitos como los fracasos, o no auditar estos eventos (es decir, ni los éxitos ni los fracasos).
Si la auditoría de éxito está habilitada, se genera una entrada de auditoría cada vez que el sistema operativo realiza una de estas actividades relacionadas con el proceso.
Si la auditoría de fallas está habilitada, se genera una entrada de auditoría cada vez que el sistema operativo no puede realizar una de estas actividades.
Valor predeterminado: sin auditoría
Importante: Para tener más control sobre las políticas de auditoría, use la configuración en el nodo Configuración avanzada de políticas de auditoría. Para obtener más información sobre la configuración avanzada de la política de auditoría, consulte http://go.microsoft.com/fwlink/?LinkId=140969 .
