En Windows tengo un programa Powershell que se ejecuta cada hora (eso es lo que he notado en la barra de tareas).
He intentado usar Sysinternals Autostart y Process Explorer para capturar lo que se está ejecutando, tuve que hacer un guardado y volcado de Process Explorer en el momento correcto y comparar los resultados con antes y después.
¿Hay una manera de registrar cada vez que se ejecuta cualquier proceso / aplicación? De esta manera solo puedo mirar el registro y ver lo que ha estado pasando en mi máquina en lugar de intentar capturar el proceso en acción.
He examinado tareas y servicios y no puedo averiguar qué está ejecutando un comando powershell en intervalos de una hora o qué está haciendo el comando power shell, tuve la suerte de notar que se mostraba en la barra de tareas, de lo contrario nunca lo habría sabido, así que es por eso que estoy tratando de averiguar cómo registrar cada aplicación que se ejecuta en la Máquina.
Puedo escribir un programa para agrupar los procesos en ejecución cada n segundos, y registrar el nuevo proceso, pero eso parece ser una mala técnica.
Estoy en Windows 7 Professional
Respuestas:
Esta Deberías hacerlo por lo que quieras. Muy rápido y sucio, pero registra todo en un registro desde su script de powershell.
Para cualquier otra cosa, debe habilitar la configuración de auditoría avanzada respectiva en la Política de grupo local (Configuración de la computadora) y el peine a través de su registro de eventos. Esta le ayudará a comenzar, no importa la referencia de Windows 2008 R2.
fuente