Ich habe mich gefragt, wie ich die Aktionen sehen kann, die auf meinem Computer, aber nicht in meiner Befehlseingabeaufforderung ausgeführt werden.
Beispiel: Stellen Sie sich vor, ich klicke auf die Verknüpfung „Google Chrome“ auf meinem Desktop. Dann erscheint Folgendes in meiner Eingabeaufforderung (oder irgendwo anders):
C:\Program Files (x86)\Google\Chrome\Application\Chrome.exe
modulo der - und -- Argumente, aber das war nur für das Beispiel.
Antwort1
Ich glaube, Sie suchen nach etwas, das hier beschrieben wird:
https://eventlogxp.com/blog/prozessverfolgung-mit-event-log-explorer/
Es beschreibt, wie die Protokollierung dieser Ereignisse konfiguriert wird:
Verwenden Sie den Gruppenrichtlinien-Editor (gpedit.msc) oder die lokale Sicherheitsrichtlinie (secpol.msc). Sie sollten Sicherheitseinstellungen -> Überwachungsrichtlinie -> Überwachungsprozessverfolgung konfigurieren oder erweiterte Überwachungsrichtlinienkonfiguration -> Systemüberwachungsrichtlinie -> Detaillierte Verfolgung verwenden.
Und dann wird Ihnen angezeigt, was Sie im Windows-Ereignisprotokoll sehen sollten, einschließlich des Prozessnamens und der Befehlszeile:
Neuer Prozessname (Prozessname) der vollständige Pfad zur ausführbaren Datei.
Die Prozessbefehlszeile definiert eine Befehlszeile, die zum Starten des Prozesses verwendet wird. Sie enthält den vollständigen Pfad zur ausführbaren Datei sowie Befehlszeilenparameter. Standardmäßig ist die Prozessbefehlszeile leer (da sie vertrauliche Daten wie Passwörter enthalten kann). Um die Befehlszeilenprotokollierung zu aktivieren, sollten Sie die Richtlinie „Befehlszeile in Prozesserstellungsereignisse einbeziehen“ aktivieren. Diese Richtlinie ist unter Administrative Vorlagen -> System -> Prozesserstellung überwachen verfügbar.
Ich hoffe, das ist hilfreich.