Существуют ли журналы Windows, содержащие связь PID с запущенным процессом?
По умолчанию таких логов нет. Однако вы можете включить отслеживание процессов в журнале событий безопасности Windows.
Примечания:
Как использовать события отслеживания процессов в журнале безопасности Windows
В Windows 2003 / XP вы получаете эти события, просто включив политику аудита отслеживания процессов.
В Windows 7/2008 + необходимо включить создание процесса аудита и, при необходимости, подкатегории завершения процесса аудита, которые вы найдете в разделе «Расширенная настройка политики аудита» в объектах групповой политики.
Эти события невероятно ценны, потому что они дают исчерпывающий контрольный журнал каждый раз, когда любой исполняемый файл в системе запускается как процесс. Вы даже можете определить, как долго выполняется процесс, связав событие создания процесса с событием завершения процесса, используя идентификатор процесса, найденный в обоих событиях. Примеры обоих событий приведены ниже.
Источник Как использовать события отслеживания процессов в журнале безопасности Windows
Как включить создание процесса аудита
Запустите gpedit.msc
Выберите «Настройки Windows»> «Настройки безопасности»> «Локальные политики»> «Политика аудита»
Щелкните правой кнопкой мыши «Аудит отслеживания процессов» и выберите «Свойства»
Проверьте «Успех» и нажмите «ОК»
Что такое отслеживание процессов аудита
Этот параметр безопасности определяет, будет ли ОС проверять связанные с процессом события, такие как создание процесса, завершение процесса, дублирование обработки и косвенный доступ к объектам.
Если этот параметр политики определен, администратор может указать, следует ли проверять только успехи, только неудачи, как успехи, так и неудачи, или вообще не проверять эти события (т.е. ни успехи, ни неудачи).
Если включен Аудит успеха, запись аудита создается каждый раз, когда ОС выполняет одно из этих действий, связанных с процессом.
Если аудит отказов включен, запись аудита создается каждый раз, когда ОС не может выполнить одно из этих действий.
По умолчанию: без аудита
Важное замечание: Для большего контроля над политиками аудита используйте параметры в узле Конфигурация расширенной политики аудита. Дополнительные сведения о настройке расширенной политики аудита см. По
адресу http://go.microsoft.com/fwlink/?LinkId=140969 .