【转】 windows进程创建 事件日志

审核进程创建

打开“本地组策略(gpedit.msc)”,左侧列表打开“计算机配置——Windows 设置——安全设置——高级审核策略配置——系统审核策略——详细跟踪”,右侧双击“审核进程创建”,把配置“成功”和“失败”勾上。至此,审核进程创建已经配置完毕。

查看日志

打开“计算机管理(“计算机”右键“管理”,或compmgmt.msc)”,左侧“系统工具——事件查看器——Windows 日志——安全”,右侧即可看到Windows有关安全的事件日志。
使用筛选器筛选出进程创建的事件(事件ID为4688),最终根据大概的时间段,找到net.exe创建的日志,可以看到创建者进程ID(PID)是0×1134,即十进制4404。

时间: 2024-10-25 05:31:03

【转】 windows进程创建 事件日志的相关文章

Windows事件日志写入SQL Server并PowerBI统计分析

在这里我准备了2台系统,一个Windows Server 2012 R2的域控服务器DC01,一台SQL on CentOS7的SQL数据库服务器 首先我使用SQL Manager Studio连接到SQL数据库服务器创建需要存放Windows转发事件日志的数据库"EventCollections" CREATE DATABASE EventCollections GO USE EventCollections GO -- the table name loosely relates

在Windows Server 2008 R2上启用Kerberos事件日志

在Windows Server 2008 R2上启用Kerberos事件日志 一.点击"开始"."运行",输入"REGEDIT"开始注册表编辑器. 二.展开到以下目录 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters 添加注册表值LogLevel,类型为REG_DWORD,值为0x1 如果Parameters下没有该子键,创建它. 注意:当定位完

Windows API——CREATEEVENT——创建事件

事件是一个允许一个线程在某种情况发生时,唤醒另外一个线程的同步对象.事件告诉线程何时去执行某一给定的任务,从而使多个线程流平滑 CreateEvent是创建windows事件的意思,作用主要用在判断线程退出,线程锁定方面. HANDLE CreateEvent( LPSECURITY_ATTRIBUTES lpEventAttributes, // 安全属性 BOOL bManualReset, // 复位方式 BOOL bInitialState, // 初始状态 LPCTSTR lpName

使用rsync备份Windows事件日志

使用rsync备份Windows事件日志 Windows版软件:cwRsyncServer 安装比较简单一直下一步即可,输入到创建账号页面的时候可以自己设置一个密码. 服务器端:cwRsyncServer_4.0.5_Installe.zip 客户端:cwRsync_4.0.5_Installer.zip 由于特殊原因需要收集Windows的Application.Security.Setup.System事件日志,而事件日志的位置是在C:\Windows\System32\winevt\Log

Windows内核原理研究——进程创建

进程可能是用户接触的Windows系统中最多的部分了,对于Windows系统而言,进程是一个独立的地址空间可以为线程提供一个独立的执行环境, 也就是说 进程= 独立的地址空间 一个进程内核对象 线程= 一个线程自己的栈 一个线程内核对象 当然这个栈是在进程的地址空间中.那么,也就是说线程才是真正“干活”的东西,进程只不过是一些资源的集合而已.只能说是“原材料”. 在我学习Windows内核以前一直觉得进程的种种特性很神奇,比如说地址空间独立是怎么实现的呢?我们的电脑使用的都是同一块内存怎么能实现

windows系统调用 利用事件对象实现进程通信

1 #include "iostream" 2 #include "windows.h" 3 #include "cstring" 4 using namespace std; 5 6 static LPCTSTR g_szContinueEvent="w2kdg.EventDemo.event.Continue"; 7 8 BOOL CreateChild(){ 9 TCHAR szFilename[MAX_PATH]; 1

使用EventLog类写Windows事件日志

在程序中经常需要将指定的信息(包括异常信息和正常处理信息)写到日志中.在C#3.0中可以使用EventLog类将各种信息直接写入Windows日志.EventLog类在System.Diagnostics命名空间中.我们可以在“管理工具” > "事件查看器“中可以查看我们写入的Windows日志,如下图所示: 下面是一个使用EventLog类向应用程序(Application)写入日志的例子,日志类型使用EventLogEntryType枚举类型指定. Code highlighting

为什么要使用日志管理?-syslog和Windows事件日志

为什么要使用日志管理?syslog和Windows事件日志 日志管理 - 确保网络安全的先决条件日志给予您有关网络活动的第一手信息.日志管理确保日志中隐藏的网络活动数据转换为有意义的可操作的安全信息.日志管理是网络安全管理员为保护网络而要完成的首要任务.日志管理包括收集.安全存储.规范化.分析.生成报表和告警.日志收集· 日志收集必须是非侵入性的.· 需要从网络中出现的不同设备.服务器和应用程序组中收集日志.· 最好以无代理的方式收集日志.在某些网络环境中,以使用代理的方式进行的日志收集应以可选

C#操作windows事件日志项

1 /// <summary> 2 /// 指定事件日志项的事件类型 3 /// </summary> 4 public enum EventLogLevel 5 { 6 /// <summary> 7 /// 错误事件.它指示用户应该知道的严重问题(通常是功能或数据的丢失). 8 /// </summary> 9 Error = 1, 10 /// <summary> 11 /// 警告事件.它指示并不立即具有重要性的问题,但此问题可能表示将来