Audit Process Creation (592/4688)

在启用了"审核进程创建"时记录4688的情况下（系统默认是关闭的，需要手动开启），Windows 7、Windows Server 2008及以上版本，会在每次创建一个进程时会把事件以Event ID为4688记录到windows安全日志中

注：Windows XP/2003的Event ID为592

开启：Edit Default Domain Policy -> Policy location: Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Advanced Audit Configuration -> Detailed Tracking

策略名称: Audit Process Creation

查看ID为4688的安全事件：

命令行获取：

wevtutil qe security /rd:true /f:text /q:"Event[System[(EventID=4688)]]"