실행중인 프로세스 기록을 얻는 방법 [중복]
답변:
확실한. Windows의 기본 제공 이벤트 로깅을 사용할 수 있습니다 (없는 저렴한 에디션이 아니라고 가정).
- Win+를 누르고 gpedit.msc 를 R입력 하여 그룹 정책 관리자를 엽니 다.
왼쪽 창에서
로컬 컴퓨터 정책 \ 컴퓨터 구성 \ Windows 설정 \ 보안 설정 \ 로컬 정책 \ 감사 정책
오른쪽 창에서 "감사 프로세스 추적"을 두 번 클릭하고 두 상자를 모두 선택하십시오.
이제부터는 모든 프로세스 작성 및 삭제 (및 실패한 시도)가 보안 로그에 나타납니다.
이를 보려면 이벤트 뷰어를 실행하십시오. (Windows 키를 누르고 "이벤트 뷰어"를 입력하십시오.) 왼쪽 창에서 "Windows 로그"하위 트리를 확장하고 "보안"을 클릭하십시오. 모든 보안 이벤트가 표시됩니다.
오른쪽 창에서 4688 또는 4689와 같은 이벤트 ID 또는 기타 지원되는 기준을 찾도록 필터를 설정할 수 있습니다.
"실행 한 내용과시기"를 찾고 있기 때문에 실패 로깅을 사용 하지 않는 것을 고려할 수 있으며 프로세스 작성에 실패한 경우 아무것도 실행되지 않았지만 이는 사용자에게 달려 있습니다.
화면에서 이벤트 로그를 읽는 것만으로 제한되지는 않습니다. 지정한 기준과 일치하는 이벤트 로그 항목으로 Windows "예약 된 작업"을 트리거 할 수 있습니다. PowerShell 스크립트 (또는 일반 프로그램)를 사용하여 이벤트 로그를 읽고 찾은 내용에 따라 작업을 수행 할 수도 있습니다.
주의 : David Postill의 대답은 일부 이벤트 코드 등에 대한 자세한 정보를 제공합니다. 무시하지 마십시오!
프로세스 실행 기록을 얻는 방법
기본적으로 이러한 기록은 없으며 어디에도 기록되지 않습니다.
그러나 Windows 보안 이벤트 로그에서 프로세스 추적 이벤트를 활성화 할 수 있습니다.
필요한 정보를 제공합니다.
노트:
솔루션을 사용하여 그룹 정책을 변경해야합니다
gpedit.불행히도 그룹 정책 편집기 (gpedit)는 Starter Edition, Home 및 Home Premium 에디션의 Windows에 포함되어 있지 않습니다.
Q & A Windows Starter Edition, Home 및 Home Premium에 gpedit가 포함되어 있지 않습니다. 어떻게 설치합니까?를 참조하십시오. 설치 방법에 대한 지침.
Windows 보안 로그에서 프로세스 추적 이벤트를 사용하는 방법
Windows 2003 / XP에서는 단순히 프로세스 추적 감사 정책을 활성화하여 이러한 이벤트를 얻습니다.
Windows 7 / 2008 +에서는 그룹 정책 개체의 고급 감사 정책 구성 아래에있는 감사 프로세스 생성 및 선택적으로 감사 프로세스 종료 하위 범주를 활성화해야합니다.
이러한 이벤트는 시스템에서 실행 파일을 프로세스로 시작할 때마다 포괄적 인 감사 추적을 제공하기 때문에 매우 중요합니다. 두 이벤트 모두에서 찾은 프로세스 ID를 사용하여 프로세스 작성 이벤트를 프로세스 종료 이벤트에 링크하여 프로세스 실행 시간을 판별 할 수도 있습니다. 두 이벤트의 예가 아래에 나와 있습니다.
소스 Windows 보안 로그에서 사용 프로세스 추적 이벤트에 어떻게
감사 프로세스 작성을 사용하는 방법
gpedit.msc를 실행하십시오.
"Windows 설정"> "보안 설정"> "로컬 정책"> "감사 정책"을 선택하십시오.
"감사 프로세스 추적"을 마우스 오른쪽 단추로 클릭하고 "속성"을 선택하십시오.
"성공"을 확인하고 "확인"을 클릭하십시오
감사 프로세스 추적이란 무엇입니까
이 보안 설정은 OS가 프로세스 작성, 프로세스 종료, 핸들 복제 및 간접 오브젝트 액세스와 같은 프로세스 관련 이벤트를 감사하는지 여부를 결정합니다.
이 정책 설정이 정의 된 경우 관리자는 성공 만, 실패 만, 성공과 실패를 모두 감사할지 또는 이러한 이벤트를 전혀 감사하지 않을지 (즉, 성공이나 실패 여부)를 지정할 수 있습니다.
성공 감사가 사용 가능한 경우, OS가 이러한 프로세스 관련 활동 중 하나를 수행 할 때마다 감사 항목이 생성됩니다.
감사 실패가 활성화되면 OS가 이러한 활동 중 하나를 수행하지 못할 때마다 감사 항목이 생성됩니다.
기본값 : 감사 없음
중요 : 감사 정책을보다 강력하게 제어하려면 Advanced Audit Policy Configuration (고급 감사 정책 구성) 노드의 설정을 사용하십시오. 고급 감사 정책 구성에 대한 자세한 내용은 http://go.microsoft.com/fwlink/?LinkId=140969를 참조하십시오 .