之前的文章:《运维和网安必备:Sysinternals Process Monitor 4.01 更新(还有 Linux 版)》介绍了 Process Monitor 新版本功能,其中提到了不算是新功能的 Boot Logging,也就是启动日志。
相信对等级保护要求有了解的读者都知道网络安全日志的重要性。因此,Process Monitor 产生的启动日志、Windows MSCONFIG 程序产生的启动日志,以及 Windows 本身的事件日志(系统启动阶段产生的内容)这三者,可以放在一起比较一下。
笔者:国际注册信息系统审计师、软考系统分析师、软件工程硕士
为简化行文,以下一律用 PM 指代 Process Monitor。
产生启动日志的操作非常简单,只需要在 PM 的 Options 菜单中勾选 Enable Boot Logging,如图1:
图1
如图2确认然后关闭 Process Monitor,重启计算机即可。