如何获得运行进程的历史记录

我需要获取有关哪些进程已在Windows计算机上运行以及何时运行的历史记录。但是，我不能使用任何第三方软件，因为我不能保证它将一直运行。

有什么方法只能使用Windows内置功能来获取此信息吗？

当然。您可以使用Windows的内置事件日志记录（假设您没有使用某些廉价的日志记录程序）。

1. 按Win+ R并键入gpedit.msc以打开组策略管理器

2. 在左窗格中，导航到

   本地计算机策略\计算机配置\ Windows设置\安全设置\本地策略\审核策略

3. 在右窗格中，双击“审核过程跟踪”，然后选中两个框

从现在开始，所有进程的创建和删除（以及相同的尝试失败）将显示在“安全性”日志中。

要查看它们，请运行事件查看器。（单击Windows键，然后开始键入“事件查看器”。）在左窗格中，展开“ Windows日志”子树，然后单击“安全性”。将显示所有安全事件。

在右窗格中，您可以设置过滤器以查找事件ID（例如4688或4689）或任何其他受支持的条件。

您可能会考虑不启用失败日志记录，因为您正在寻找“运行的内容和时间”，如果流程创建失败，则什么也没有运行……但这取决于您。

您也不仅限于阅读屏幕上的事件日志。Windows“计划任务”可以由与您指定的条件匹配的事件日志条目触发。您还可以使用PowerShell脚本（当然，也可以使用普通程序）读取事件日志，并根据发现的内容进行操作。

注意：David Postill的答案提供了一些事件代码等的更多详细信息。请不要忽略它！

如何获取运行过程的历史记录

默认情况下，没有这样的历史记录，并且不会记录在任何地方。

但是，您可以在Windows安全事件日志中启用进程跟踪事件。

这将为您提供所需的信息。

笔记：

• 解决方案要求使用更改组策略gpedit。

• 不幸的是，Windows的简化版，家庭版和家庭高级版没有包含组策略编辑器（gpedit）。

• 请参阅我的问答Windows Starter Edition，家庭和家庭高级版不包含gpedit，如何安装？有关如何安装的说明。

如何在Windows安全日志中使用进程跟踪事件

在Windows 2003 / XP中，您只需启用流程跟踪审核策略即可获得这些事件。

在Windows 7/2008 +中，您需要启用“审核过程创建”以及（可选）“审核过程终止”子类别，您可以在组策略对象的“高级审核策略配置”下找到这些子类别。

这些事件非常有价值，因为它们在每次启动系统上的任何可执行文件时都会提供全面的审核跟踪。您甚至可以使用在两个事件中找到的Process ID将流程创建事件与流程终止事件相关联，从而确定流程运行了多长时间。这两个事件的示例如下所示。

来源如何在Windows安全日志中使用进程跟踪事件

如何启用审核流程创建

1. 运行gpedit.msc

2. 选择“ Windows设置”>“安全设置”>“本地策略”>“审核策略”

   

3. 右键单击“审核过程跟踪”，然后选择“属性”

4. 选中“成功”，然后单击“确定”

   

什么是审核流程跟踪

此安全设置确定操作系统是否审核与流程相关的事件，例如流程创建，流程终止，句柄重复和间接对象访问。

如果定义了此策略设置，则管理员可以指定是仅审核成功，失败，成功和失败，还是根本不审核这些事件（即，既不成功也不失败）。

如果启用了成功审核，则每次操作系统执行这些与流程相关的活动之一时，都会生成一个审核条目。

如果启用了失败审核，则每当操作系统未能执行这些活动之一时，都会生成一个审核条目。

默认值：不审核

重要说明：要更好地控制审核策略，请使用“高级审核策略配置”节点中的设置。有关高级审核策略配置的详细信息，请参阅 http://go.microsoft.com/fwlink/?LinkId=140969。

进一步阅读

• Windows安全日志百科全书