Sie müssen im Voraus vorbereitet sein. Bei der Protokollierung aller Anwendungen können viele Protokolldaten generiert werden. Daher ist diese Protokollierungsstufe nicht die Standardeinstellung. Hier ist eine gute Antwort auf dieses Thema in einem anderen. Wenn die @WernerHenze-Antwort für Sie funktioniert, sollten Sie dies bestätigen.
Sie können nicht überprüfen, was gelaufen ist, aber Sie können sich auf das nächste Mal vorbereiten. Wenn Sie secpol.msc öffnen, können Sie zu lokalen Richtlinien / Überwachungsrichtlinien wechseln. Aktivieren Sie Success (und möglicherweise auch Failure) für die Überwachung des Überwachungsprozesses, und jedes Mal, wenn ein Prozess beginnt oder endet, wird ein Ereignisprotokolleintrag im Sicherheitsereignisprotokoll angezeigt. Leider wird der laufende Prozess angezeigt, nicht jedoch die Befehlszeile, mit der er gestartet wurde.
Wenn Sie die Überwachung aktivieren, werden möglicherweise viele Protokolle generiert. Daher sollten Sie die Größe des Sicherheitsereignisprotokolls anpassen.
Sie können auf die Protokolle mit eventvwr.msc, Windows-Protokollen und Sicherheit zugreifen.