我想知道如何才能在 cmd 提示符下看到在我的计算机上完成的操作。
例如:假设我单击桌面上的快捷方式 Google Chrome,那么它将出现在我的 cmd 提示符上(或其他任何地方):
C:\Program Files (x86)\Google\Chrome\Application\Chrome.exe
对 - 和 -- 参数取模,但这只是为了举例而已。
答案1
我认为您正在寻找类似这里描述的东西:
https://eventlogxp.com/blog/process-tracking-with-event-log-explorer/
它描述了如何配置这些事件的日志记录:
使用组策略编辑器(gpedit.msc)或本地安全策略(secpol.msc)。您应该配置安全设置->审核策略->审核过程跟踪或使用高级审核策略配置->系统审核策略->详细跟踪。
然后它会向您显示您应该在 Windows 事件日志中看到的内容,包括进程名称和命令行:
新的进程名称(Process Name)可执行文件的完整路径。
进程命令行定义用于启动进程的命令行。它包括可执行文件的完整路径以及命令行参数。默认情况下,进程命令行为空(因为它可能包含密码等敏感数据)。要启用命令行日志记录,您应该启用策略“在进程创建事件中包含命令行”。此策略可在管理模板 -> 系统 -> 审计进程创建中找到。
我希望这有帮助。