我刚刚看到一个新应用程序在任务栏上短暂出现并立即消失,无需我输入任何内容。我如何找到它是什么?我应该查看哪些日志?
答案1
您需要提前做好准备。记录所有应用程序可能会生成大量日志数据,因此该级别的日志记录不是默认的。以下是好答案在另一个帖子中讨论这个话题。如果@WernerHenze 的回答对你有用,你应该点赞。
您将无法检查运行了什么,但可以为下一次做好准备。如果您打开 secpol.msc,您可以转到本地策略/审核策略。在审核进程跟踪中激活成功(也可能是失败),每次进程启动或结束时,您都会在安全事件日志中获得事件日志条目。不幸的是,您会看到运行的进程,但看不到启动它的命令行。
如果您激活审核,可能会生成大量日志,因此您应该调整安全事件日志的大小。
您可以使用 eventvwr.msc、Windows 协议、安全访问日志。
答案2
默认情况下,Windows 不会保留应用程序运行的历史记录,您必须事先进行设置。但是在某些情况下,您可能会幸运地使用事件查看器找到该应用程序。