MS Teams 会写入事件日志吗？

Question

我非常怀疑 Teams 在启动时是否会生成特定的事件日志事件，但你可以通过查看以下信息来检测任何进程，包括 Microsoft Teams事件 ID 4688（但是进程跟踪需要审核）并根据进程名称和路径进行过滤。

在我的系统上，该事件类似于以下内容：

A new process has been created.

Creator Subject:
    Security ID:        DOMAIN\lucky.luke
    Account Name:       lucky.luke
    Account Domain:     DOMAIN
    Logon ID:       0xDBA77

Target Subject:
    Security ID:        NULL SID
    Account Name:       -
    Account Domain:     -
    Logon ID:       0x0

Process Information:
    New Process ID:     0x730c
    New Process Name:   C:\Users\lucky.luke\AppData\Local\Microsoft\Teams\current\Teams.exe
    Token Elevation Type:   TokenElevationTypeLimited (3)
    Mandatory Label:        Mandatory Label\Medium Mandatory Level
    Creator Process ID: 0x725c
    Creator Process Name:       C:\Users\lucky.luke\AppData\Local\Microsoft\Teams\current\Teams.exe

请记住，它为我创建了 4 个实例，因此无论您触发什么，都需要考虑到这一点，并且仅在第一个实例上触发。

有一些软件可以利用阈值等来实现这一点（例如活动哨兵灯）。

Answer 1

我非常怀疑 Teams 在启动时是否会生成特定的事件日志事件，但你可以通过查看以下信息来检测任何进程，包括 Microsoft Teams事件 ID 4688（但是进程跟踪需要审核）并根据进程名称和路径进行过滤。

在我的系统上，该事件类似于以下内容：

A new process has been created.

Creator Subject:
    Security ID:        DOMAIN\lucky.luke
    Account Name:       lucky.luke
    Account Domain:     DOMAIN
    Logon ID:       0xDBA77

Target Subject:
    Security ID:        NULL SID
    Account Name:       -
    Account Domain:     -
    Logon ID:       0x0

Process Information:
    New Process ID:     0x730c
    New Process Name:   C:\Users\lucky.luke\AppData\Local\Microsoft\Teams\current\Teams.exe
    Token Elevation Type:   TokenElevationTypeLimited (3)
    Mandatory Label:        Mandatory Label\Medium Mandatory Level
    Creator Process ID: 0x725c
    Creator Process Name:       C:\Users\lucky.luke\AppData\Local\Microsoft\Teams\current\Teams.exe

请记住，它为我创建了 4 个实例，因此无论您触发什么，都需要考虑到这一点，并且仅在第一个实例上触发。

有一些软件可以利用阈值等来实现这一点（例如活动哨兵灯）。

MS Teams 会写入事件日志吗？

答案1

相关内容