Мониторинг создания и завершения процесса в Windows

Служба регистратора процессов — это бесплатная программа для Windows, которая устанавливается как служба для отслеживания создания процессов на компьютере, на котором она установлена.

Процессы запускаются при запуске программы на устройстве под управлением Windows, но также автоматически с помощью программного обеспечения, служб или операционной системы.

Хотя вы можете легко идентифицировать некоторые из запущенных процессов, например, программы, которые вы запустили, вы можете пропустить основную часть создания и завершения процесса, поскольку это происходит в фоновом режиме.

Такие программы, как Диспетчер задач Windows или более подходящий Process Explorer помогут вам лучше понять, что происходит в системе, но обычно они предоставляют снимок только в отношении этого.

Легко пропустить процессы, которые запускаются и завершаются автоматически.

Мониторинг создания и завершения процесса

Служба регистратора процессов была разработана, чтобы предоставить вам журнал активности процессов. Его немного сложно установить, так как он работает как служба Windows, но как только вы прошли, он работает автоматически.

Установка

Скачайте архив программы с сайта разработчика, а затем распакуйте его. После этого скопируйте каталог ProcessLoggerSvc в корень диска c :.

Откройте каталог службы и откройте config.ini в текстовом редакторе. Вы можете изменить конфигурацию сервиса по умолчанию, используя его.

Варианты включают отключение регистрации создания или завершения процессов, отключение вычисления хэшей MD5 или изменение местоположения журнала каталога.

После этого щелкните правой кнопкой мыши install.bat в корневом каталоге и выберите в меню команду «Запуск от имени администратора». Подтвердите приглашение UAC и закройте окно командной строки после завершения выполнения.

Если все прошло хорошо, служба будет установлена ​​на этом этапе. Вы можете использовать тот же метод для повторного удаления службы, с той лишь разницей, что на этот раз вам нужно выполнить файл uninstall.bat с повышенными привилегиями.

Журналы процесса

Журналы записываются в подкаталог журналов, где они сортируются по имени ПК, а затем по дате.

Каждая запись начинается с вида деятельности, например создание или завершение процесса с указанием даты и времени.

Для каждой записи доступна следующая информация:

1. Идентификатор процесса, полный путь и исполняемое имя файла.
2. Командная строка.
3. Родитель процесса с идентификатором, путем и именем файла.
4. Родительская командная строка.
5. Имя пользователя и домен.
6. MD5-хэш.
7. Издатель и подписывающий.
8. Описание.
9. Версия.
10. Уровень честности.
11. Системный, Защищенный или Метро-процесс.

Поскольку журналы предоставляются в текстовой форме, доступны такие параметры, как поиск или копирование. Переход к следующей записи в журнале активности не так удобен, как в приложении с графическим интерфейсом пользователя, но с ним можно справиться даже для больших журналов.

Вывод

Служба Process Logger совместима со всеми 32-битными и 64-битными версиями Windows от Windows XP до Windows 10.

В некоторых случаях имеет смысл запускать Сервис постоянно, поскольку он предоставляет вам информацию о процессах, которые были запущены и завершены в течение рабочего дня или периода.

В других случаях вы можете захотеть запустить его только тогда, когда вам потребуется информация, например, когда вы подозреваете, что процессы выполняются в то время, когда они не должны выполняться.