Есть ли способ узнать, какая последняя партия (something.bat) была запущена в Windows? Я находился в папке, содержащей множество пакетов, поскольку я открывал их один за другим, щелкая правой кнопкой мыши и выбирая блокнот ++. У меня такое ощущение, что я мог бы нажать «Запуск от имени администратора» вместо «открыть с помощью блокнота ++». Я не уверен, поэтому я подумал, есть ли способ узнать, какой файл bat последний раз запускался в Windows (и когда). это сервер windows 2008. Спасибо за вашу помощь.
В Windows нет простого журнала для запущенных процессов. Одна вещь, которая приближается, - это ключ реестра UserAssist
:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist
В нем есть записи для определенных выполняемых процессов, самый интересный подраздел:
{CEBFF5CD-ACE2-4F4F-9178-9926F41749EA}\Count
Однако эти записи закодированы в ROT13. Вы можете скопировать имя значения и декодировать его вручную. Вместо этого вы можете использовать инструмент, который демистифицирует эти записи, UserAssist Дидье Стивенса
Если вам нужно знать о выполняемых процессах, у вас есть как минимум два варианта, чтобы включить ведение журнала. Конечно, эта работа только для будущего процесса начинается:
включить Аудит Windows
Использовать SysMon из SysInternals
Второй вариант проще в настройке и, скорее всего, потребляет меньше ресурсов. Однако он регистрирует только начало нового процесса. Это отлично работает, если вы дважды щелкните или open
пакетный файл в проводнике, но не будет регистрировать пакетное выполнение, если запущено из cmd.exe
Одно из следующих должно дать вам это (сейчас не могу проверить):
Nirsoft Winprefetchview
Просмотр последней активности Nirsoft
Попробуйте журналы событий. Нажмите Пуск и введите «журналы событий». В разделе «Журналы Windows» слева нажмите «Приложение».
В пакетном файле должен быть специальный код, который выводит в журналы исключение или завершенное сообщение. Если нет, возможно, вам не повезло.