Powershell:正在运行什么脚本以及谁/什么启动了它

Powershell:正在运行什么脚本以及谁/什么启动了它

我有一个后台 powershell 脚本,它占用了大量 CPU。除了杀死它之外,我还想知道这个脚本是什么,以及为什么启动它。这是在 Windows server 2019 实验室/评估机上。在任务管理器上,我的用户帐户被列为运行 powershell.exe 的用户。

例如在 Linux 中,top 将列出 bash/python/perl/etcetera 上的命令行参数,以便您可以知道通用程序正在运行哪些命令。

答案1

  1. GPO:计算机\管理模板\Windows 组件\Windows Powershell
    • 启用 Powershell 脚本阻止日志记录
    • 启用成绩单(例如 C:\PSLog...创建此目录)
  2. 事件查看器:应用程序和服务日志 \ Microsoft \ Windows \ Powershell \ Operational
  3. 阅读事件查看器和记录

是的,按照“Zoredache”的建议去做。

相关内容