是否有一些Windows日志包含PID与正在运行的进程的关联
默认情况下,没有此类日志。但是,您可以在Windows安全事件日志中启用进程跟踪事件。
笔记:
如何在Windows安全日志中使用进程跟踪事件
在Windows 2003 / XP中,您只需启用流程跟踪审核策略即可获取这些事件。
在Windows 7/2008 +中,您需要启用“审核过程创建”以及(可选)“审核过程终止”子类别,您可以在组策略对象的“高级审核策略配置”下找到这些子类别。
这些事件非常有价值,因为它们在每次启动系统上的任何可执行文件时都会提供全面的审核跟踪。您甚至可以使用在两个事件中找到的Process ID,将流程创建事件链接到流程终止事件,来确定流程运行了多长时间。这两个事件的示例如下所示。
来源如何在Windows安全日志中使用进程跟踪事件
如何启用审核流程创建
运行gpedit.msc
选择“ Windows设置”>“安全设置”>“本地策略”>“审核策略”
右键单击“审核过程跟踪”,然后选择“属性”
选中“成功”,然后单击“确定”
什么是审核流程跟踪
此安全设置确定OS是否审核与流程相关的事件,例如流程创建,流程终止,句柄重复和间接对象访问。
如果定义了此策略设置,则管理员可以指定是仅审核成功,仅失败,成功和失败,还是根本不审核这些事件(即既不成功也不失败)。
如果启用了成功审核,则每次操作系统执行这些与流程相关的活动之一时,都会生成一个审核条目。
如果启用了失败审核,则每次操作系统未能执行这些活动之一时,都会生成一个审核条目。
默认值:不审核
重要说明:要更好地控制审核策略,请使用“高级审核策略配置”节点中的设置。有关高级审核策略配置的详细信息,请参阅
http://go.microsoft.com/fwlink/?LinkId=140969。