Windows 10や11のパソコンを管理していると、ユーザーが許可されていないアプリやソフトを実行していないかチェックするために、アプリやソフトの起動/終了の履歴を記録しておきたいときがあります。
そこでここでは、Windows 10や11でアプリやソフトといったプロセスの起動/終了をイベントログに記録する方法を紹介します。
この記事は、以下の環境で実行した結果を基にしています。他のエディションやバージョンでは、動作結果が異なる場合があることをご了承ください。
| ソフトウェア | バージョン |
|---|---|
| Windows 10 Pro 64bit | 22H2 |
目次
起動/終了をイベントログに記録する
Windowsでは、デフォルト設定ではアプリやソフトといったプロセスの起動/終了は記録されないため、以下の手順でイベントログに記録するよう設定する必要があります。
まず、スタートメニューのプログラム一覧などから「ローカルセキュリティポリシー」を起動します。
ローカルセキュリティポリシーが起動したら、画面左側のツリーから「ローカルポリシー」>「監査ポリシー」を選択し、画面右側のポリシーの一覧から「プロセス追跡の監査」をダブルクリックします。
「プロセス追跡の監査」のプロパティ画面が表示されるので「成功」と「失敗」にチェックを入れて「OK」をクリックします。
以上で、アプリやソフトの起動/終了が、セキュリティイベントログに記録されるようになります。
なお、プロセス追跡の監査を有効にすると、セキュリティイベントログに大量のログが出力されるため、デフォルトのログサイズ(20MB)のままだと、すぐにログが一杯になる可能性があるので、セキュリティイベントログのプロパティ画面で、ログの最大サイズを増やしたり、古いログをアーカイブするといった設定も検討する必要があるでしょう。
起動/終了のイベントログを確認する
アプリやソフトの起動/終了をイベントログで確認するときは「イベントビューアー」を利用します。
まず、スタートメニューを右クリックしたメニュー一覧などから「イベントビューアー」を選択します。
イベントビューアーが起動するので、画面左側のツリーから「Windowsログ」>「セキュリティ」を選択します。ここにアプリやソフトの起動/終了履歴が記録されています。
たとえば、アプリやソフトを起動すると、以下のようなイベントログが記録され、イベントの詳細には、誰がどのプロセスを実行したかが記録されています。
キーワード 日付と時刻 ソース イベント ID タスクのカテゴリ
成功の監査 2022/12/27 0:43:31 Microsoft-Windows-Security-Auditing 4688 Process Creation "新しいプロセスが作成されました。アプリやソフトを終了したときには、以下のようなイベントログが記録され、イベントの詳細には、誰がどのプロセスを終了したかが記録されています。
キーワード 日付と時刻 ソース イベント ID タスクのカテゴリ
成功の監査 2022/12/27 0:46:25 Microsoft-Windows-Security-Auditing 4689 Process Termination "プロセスが終了しました。あとがき
専用の監査ツールを導入していない環境でも、アプリやソフトといったプロセスの起動/終了をイベントログに記録しておけば、トラブルが発生したときの調査に役立てることもできるでしょう。