一、系统级操作记录查询
事件查看器 - 按 `Win + R` 打开运行窗口,输入 `eventvwr.msc` 回车。
- 在左侧导航栏选择 Windows 日志
> 系统,查看开机/关机记录(ID 6005/6006)。
- 通过 安全日志查找用户登录/注销记录(事件ID 4624/4634)。
任务管理器
- 按 `Ctrl + Shift + Esc` 打开任务管理器。
- 切换到 进程选项卡,查看运行程序的名称、CPU和内存占用情况。
- 在 Windows 10 中,切换到 应用历史记录选项卡可查看程序运行时长等详细信息。
系统文件与注册表
- 打开 运行窗口(Win + R),输入 `prefetch` 回车,查看 `C:\Windows\Prefetch` 中的程序缓存记录。
- 通过注册表编辑器(`regedit`)查看软件安装记录(`HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall`)。
二、用户级操作记录查询
文件与文件夹操作
- 在资源管理器中,右键文件/文件夹选择 属性,查看 修改日期和 作者信息。
- 使用 `recent` 命令(Win + R → 输入 `recent` 回车)查看最近访问的文件和文件夹。
浏览器历史记录
- 在浏览器中按 `Ctrl + H` 打开历史记录,查看访问过的网页列表。
剪贴板与屏幕活动
- 在任务管理器的 进程选项卡中,查看 剪贴板历史(仅限部分软件支持)。
- 使用第三方工具(如域之盾)监控屏幕活动记录。
三、其他实用方法
计划任务查看: 通过 `taskschd.msc`(Win + R → 输入 `taskschd.msc` 回车)查看预定的软件执行任务。 第三方监控软件
注意事项
部分功能(如任务管理器的应用历史记录)需 Windows 10 及以上版本支持。
第三方工具需谨慎选择,避免泄露隐私或系统崩溃。
敏感操作建议通过系统审计功能(如本地/网络审计策略)进行合规性检查。
