Existe-t-il des journaux Windows contenant l'association du PID au processus en cours
Par défaut, il n'y a pas de tels journaux. Cependant, vous pouvez activer les événements de suivi des processus dans le journal des événements de sécurité Windows.
Remarques:
Comment utiliser les événements de suivi des processus dans le journal de sécurité Windows
Dans Windows 2003 / XP, vous obtenez ces événements en activant simplement la stratégie d'audit de suivi des processus.
Dans Windows 7/2008 +, vous devez activer la création du processus d'audit et, éventuellement, les sous-catégories Audit Process Termination que vous trouverez sous Advanced Audit Policy Configuration dans les objets de stratégie de groupe.
Ces événements sont incroyablement précieux car ils fournissent une piste d'audit complète de chaque démarrage d'un exécutable sur le système en tant que processus. Vous pouvez même déterminer la durée d'exécution du processus en liant l'événement de création de processus à l'événement de fin de processus à l'aide de l'ID de processus trouvé dans les deux événements. Des exemples des deux événements sont présentés ci-dessous.
Source Comment utiliser les événements de suivi des processus dans le journal de sécurité Windows
Comment activer la création de processus d'audit
Exécutez gpedit.msc
Sélectionnez "Paramètres Windows"> "Paramètres de sécurité"> "Stratégies locales"> "Stratégie d'audit"
Faites un clic droit sur "Suivi du processus d'audit" et sélectionnez "Propriétés"
Cochez "Succès" et cliquez sur "OK"
Qu'est-ce que le suivi du processus d'audit
Ce paramètre de sécurité détermine si le système d'exploitation audite les événements liés au processus tels que la création de processus, la fin du processus, la duplication de gestion et l'accès indirect aux objets.
Si ce paramètre de stratégie est défini, l'administrateur peut spécifier s'il convient d'auditer uniquement les succès, uniquement les échecs, à la fois les succès et les échecs, ou de ne pas auditer ces événements du tout (c'est-à-dire ni les succès ni les échecs).
Si l'audit réussi est activé, une entrée d'audit est générée chaque fois que le système d'exploitation exécute l'une de ces activités liées au processus.
Si l'audit des échecs est activé, une entrée d'audit est générée chaque fois que le système d'exploitation ne parvient pas à effectuer l'une de ces activités.
Par défaut: aucun audit
Important: pour mieux contrôler les stratégies d'audit, utilisez les paramètres du nœud Configuration avancée de la stratégie d'audit. Pour plus d'informations sur la configuration de stratégie d'audit avancée, voir
http://go.microsoft.com/fwlink/?LinkId=140969 .
wevtutil
. C'est plus facile que d'utiliser l'interface graphique de l'Observateur d'événements.La seule façon de voir est que vous devez activer l'audit pour suivre la création des processus.
Dans le programme "Stratégie de sécurité locale" (tapez
secpol.msc
dans l'écran d'exécution si vous ne parvenez pas à le trouver), accédez à "Paramètres de sécurité -> Polices locales -> Politique d'audit" puis activez le "Suivi du processus d'audit" pour "Succès".Une fois que vous avez fait cela, allez dans l'Observateur d'événements et vérifiez le journal des événements "Sécurité", là vous verrez les entrées "Audit Success" pour chaque fois qu'un processus est démarré ou terminé.
Vous devrez convertir l'ID de processus que vous recherchez de décimal en hexadécimal (3336 devient 0xD08). La façon la plus simple de convertir est d'ouvrir la calculatrice Windows, allez en mode "Programmeur", entrez le nombre en mode "déc", puis cliquez sur le mode "hex". Le nombre affiché sera converti en hex pour vous.
la source
Si c'est une chose unique et que vous ne voulez pas toujours enregistrer vos processus, je suggère d'utiliser Microsoft Process Monitor ( https://technet.microsoft.com/en-us/Library/bb896645.aspx ). Il doit être exécuté avant que le populaire n'apparaisse, mais même après la mort du processus parent, il aura capturé toutes les informations que vous cherchiez.
la source