Необроблені події
Натисніть назву процесу, щоб перейти до розділу з відомостями про нього. Щоб переглянути події комп’ютера, натисніть правою кнопкою миші назву необробленої події і виберіть Показати події на комп’ютері. За допомогою фільтрів угорі екрана можна отримати точніші результати. Натисніть Показати події підпроцесу, щоб відобразити події дочірнього процесу.
Дерево процесів збоку
Дерево процесів відображає відносини між батьківськими й дочірніми процесами, де дочірні показані безпосередньо під батьківським і з відступом праворуч. Процеси, показані збоку, не мають батьківського процесу, оскільки він завершив роботу.
|
Попередні версії Windows не відтворюють події інструментарію керування Windows. Ця функція стала доступною у Windows 10 версії 1803. Для деяких із подій фіксується лише часткова інформація: •Події запису у файл: перша зміна файлу (залежить від процесу: якщо два процеси змінюють той самий файл, записуються обидві зміни). •Події, пов’язані з реєстром: перша зміна розділу реєстру (перший раз від процесу). •DLLLoad: бібліотеки DLL, які не внесено до білого списку антивірусом. •Події TcpIp: перше підключення (перший раз від певного процесу). •Події http: перший запит (перший раз від певного процесу). •ModuleDrop (також відомий як PEDrop): перша інсталяція відповідного модуля дропером (перший раз на комп’ютері). •AmsiTriggerEvent: лише перше виконання (уперше на комп’ютері). |
Використовуйте кнопки дії для фільтрації процесів у списку.