这可以使用审核流程创建策略来完成,如果您在域环境中,则可以在组策略中启用,也可以在单个工作站上的本地策略中启用.此设置在计算机配置>政策> Windows设置>安全设置>高级审计配置>详细跟踪
每次启动进程时,事件都将记录在ID为4688的Windows事件日志中.
如果启用名为“在进程创建事件中包含命令行”的第二个策略设置,则更新版本的Windows和Windows服务器(8.1,2012 R2及更高版本)也将记录命令行参数.
每次启动进程时,事件都将记录在ID为4688的Windows事件日志中.
如果启用名为“在进程创建事件中包含命令行”的第二个策略设置,则更新版本的Windows和Windows服务器(8.1,2012 R2及更高版本)也将记录命令行参数.