​​Как получить историю запуска программ в Windows? Все запускаемые в Windows программы так или иначе оставляют в системе след, причем касается это не только установленных, но и портативных приложений. Следы запуска программ остаются в виде записей журнала, истории действий, ключей реестра, а также файлов префетчинга. В действительности в Windows имеется более простое и удобное решение - политики аудита. После активации настройки при каждом запуске исполняемого файла той или иной программы Windows станет автоматически создавать в системном журнале событий информативные записи. Для этого: 1. Нажмите сочетание «Win+R» и выполните команду «gpedit.msc», чтобы открыть «Редактор локальных групповых политик». 2. В меню слева пройдите по пути «Конфигурация компьютера» → «Конфигурация Windows» → «Параметры безопасности» → «Локальные политики» → «Политика аудита». 3. Откройте параметр «Аудит отслеживания процессов», поставьте галочку «Успех» и примените настройки. Чтобы читать записи аудита, откройте системный журнал событий клавишами «Win+R» и командой «eventvwr.msc». Пройдите по пути «Журналы Windows» → «Безопасность». События под кодом 4688 будут указывать на запуск процессов. Вы можете использовать «Фильтр текущего журнала», чтобы отсортировать события по этому коду. #система #windows