任务管理器显示正在运行的程序 - 如何查看已结束的程序？

Question 1

如何找出已停止的程序正在运行

默认情况下，没有已运行程序的日志。

不过，您可以启用进程跟踪事件在里面Windows 安全事件日志（请参阅下面的说明）这些信息将在将来提供给您。

一旦启用进程跟踪事件，您可以使用以下 Powershell 命令来检查事件：

进程开始：

Get-EventLog Security | Where-Object {$_.EventID -eq 4688} | Format-List

进程停止：

Get-EventLog Security | Where-Object {$_.EventID -eq 4689} | Format-List

上述命令将事件信息转储到屏幕上。

如何使用 Windows 安全日志中的进程跟踪事件

在 Windows 2003/XP 中，您只需启用进程跟踪审计策略即可获取这些事件。

在 Windows 7/2008+ 中，您需要启用审计进程创建，并可选地启用审计进程终止子类别，您可以在组策略对象中的高级审计策略配置下找到它们。

这些事件非常有价值，因为它们提供了每次系统上任何可执行文件作为进程启动时的全面审计跟踪。您甚至可以通过使用在两个事件中找到的进程 ID 将进程创建事件链接到进程终止事件来确定进程运行的时间。下面显示了这两个事件的示例。

来源如何使用 Windows 安全日志中的进程跟踪事件

如何启用审计流程创建

运行 gpedit.msc
- 注意：遗憾的是，组策略编辑器不包含在 Windows 的入门版、家庭版和家庭高级版中。
- 请参阅我的回答如何在 Windows Starter Edition、Home 和 Home Premium 上安装 gpedit.msc？了解安装说明。
选择“Windows 设置”>“安全设置”>“本地策略”>“审核策略”
右键单击“审计进程跟踪”，并选择“属性”
勾选“成功”，点击“确定”

什么是审计流程跟踪

此安全设置确定操作系统是否审核与进程相关的事件，例如进程创建、进程终止、句柄重复和间接对象访问。

如果定义了此策略设置，管理员可以指定是否仅审核成功、仅审核失败、同时审核成功和失败，或者根本不审核这些事件（即既不审核成功也不审核失败）。

如果启用了成功审计，则每次操作系统执行这些与进程相关的活动之一时都会生成一个审计条目。

如果启用了失败审核，则每次操作系统无法执行这些活动之一时都会生成一个审核条目。

默认值：无审计

重要提示：要更好地控制审计策略，请使用高级审计策略配置节点中的设置。有关高级审计策略配置的详细信息，请参阅 http://go.microsoft.com/fwlink/?LinkId=140969。

那么 Nirsoft 的 ExecutedProgramList 怎么样？我可以使用吗？

执行程序清单没有提供已执行程序的完整列表。

例如，它没有列出我当前从拇指驱动器运行的任何便携式程序，例如 Agent、Notepad++、GSNotes 以及自上次重启以来运行的几乎所有 Cygwin 程序。

它不会列出任何未向链接中提到的位置写入任何内容的程序：

先前执行的程序列表是从以下数据源收集的：

注册表项：HKEY_CURRENT_USER\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache

注册表项：HKEY_CURRENT_USER\Microsoft\Windows\ShellNoRoam\MUICache

注册表项：HKEY_CURRENT_USER\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted

注册表项：HKEY_CURRENT_USER\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store

Windows 预取文件夹 (C:\Windows\Prefetch)

来源执行程序清单

进一步阅读

Answer

如何找出已停止的程序正在运行

默认情况下，没有已运行程序的日志。

不过，您可以启用进程跟踪事件在里面Windows 安全事件日志（请参阅下面的说明）这些信息将在将来提供给您。

一旦启用进程跟踪事件，您可以使用以下 Powershell 命令来检查事件：

进程开始：

Get-EventLog Security | Where-Object {$_.EventID -eq 4688} | Format-List

进程停止：

Get-EventLog Security | Where-Object {$_.EventID -eq 4689} | Format-List

上述命令将事件信息转储到屏幕上。

如何使用 Windows 安全日志中的进程跟踪事件

在 Windows 2003/XP 中，您只需启用进程跟踪审计策略即可获取这些事件。

在 Windows 7/2008+ 中，您需要启用审计进程创建，并可选地启用审计进程终止子类别，您可以在组策略对象中的高级审计策略配置下找到它们。

这些事件非常有价值，因为它们提供了每次系统上任何可执行文件作为进程启动时的全面审计跟踪。您甚至可以通过使用在两个事件中找到的进程 ID 将进程创建事件链接到进程终止事件来确定进程运行的时间。下面显示了这两个事件的示例。

来源如何使用 Windows 安全日志中的进程跟踪事件

如何启用审计流程创建

运行 gpedit.msc
- 注意：遗憾的是，组策略编辑器不包含在 Windows 的入门版、家庭版和家庭高级版中。
- 请参阅我的回答如何在 Windows Starter Edition、Home 和 Home Premium 上安装 gpedit.msc？了解安装说明。
选择“Windows 设置”>“安全设置”>“本地策略”>“审核策略”
右键单击“审计进程跟踪”，并选择“属性”
勾选“成功”，点击“确定”

什么是审计流程跟踪

此安全设置确定操作系统是否审核与进程相关的事件，例如进程创建、进程终止、句柄重复和间接对象访问。

如果定义了此策略设置，管理员可以指定是否仅审核成功、仅审核失败、同时审核成功和失败，或者根本不审核这些事件（即既不审核成功也不审核失败）。

如果启用了成功审计，则每次操作系统执行这些与进程相关的活动之一时都会生成一个审计条目。

如果启用了失败审核，则每次操作系统无法执行这些活动之一时都会生成一个审核条目。

默认值：无审计

重要提示：要更好地控制审计策略，请使用高级审计策略配置节点中的设置。有关高级审计策略配置的详细信息，请参阅 http://go.microsoft.com/fwlink/?LinkId=140969。

那么 Nirsoft 的 ExecutedProgramList 怎么样？我可以使用吗？

执行程序清单没有提供已执行程序的完整列表。

例如，它没有列出我当前从拇指驱动器运行的任何便携式程序，例如 Agent、Notepad++、GSNotes 以及自上次重启以来运行的几乎所有 Cygwin 程序。

它不会列出任何未向链接中提到的位置写入任何内容的程序：

先前执行的程序列表是从以下数据源收集的：

注册表项：HKEY_CURRENT_USER\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache

注册表项：HKEY_CURRENT_USER\Microsoft\Windows\ShellNoRoam\MUICache

注册表项：HKEY_CURRENT_USER\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted

注册表项：HKEY_CURRENT_USER\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store

Windows 预取文件夹 (C:\Windows\Prefetch)

来源执行程序清单

进一步阅读

Question 2

Nirsoft 有一个小型免费应用程序，执行程序清单，显示系统上执行的程序和批处理文件的列表。请注意，由于 Windows 固有的限制，它并不总是能够显示应用程序上次启动的时间，并且正如@DavidPostill 提到的，它可能会错过便携式应用程序。

它从 Windows 获取信息，因此不需要运行来编译其列表。

Answer

Nirsoft 有一个小型免费应用程序，执行程序清单，显示系统上执行的程序和批处理文件的列表。请注意，由于 Windows 固有的限制，它并不总是能够显示应用程序上次启动的时间，并且正如@DavidPostill 提到的，它可能会错过便携式应用程序。

它从 Windows 获取信息，因此不需要运行来编译其列表。

Question 3

工艺历史也可以这样做。它是一个免费且可移植的流程数据库。

这是简单的便携式 .zip 下载。下载网站上有如何使用它的手册和视频。

只要进程历史记录正在运行，您就可以通过单独的 GUI 查询已结束的进程。

它可以在 XP 以上版本的 Windows 上运行。

（我是这个开源软件的作者。）

Answer

工艺历史也可以这样做。它是一个免费且可移植的流程数据库。

这是简单的便携式 .zip 下载。下载网站上有如何使用它的手册和视频。

只要进程历史记录正在运行，您就可以通过单独的 GUI 查询已结束的进程。

它可以在 XP 以上版本的 Windows 上运行。

（我是这个开源软件的作者。）

Question 4

进程监控器从 Windows系统内部就能很好地完成工作。

Answer

进程监控器从 Windows系统内部就能很好地完成工作。

任务管理器显示正在运行的程序 - 如何查看已结束的程序？

答案1

如何找出已停止的程序正在运行

如何使用 Windows 安全日志中的进程跟踪事件

如何启用审计流程创建

什么是审计流程跟踪

那么 Nirsoft 的 ExecutedProgramList 怎么样？我可以使用吗？

进一步阅读

答案2

答案3

答案4

相关内容