Úplnou historii instalací, aktualizací a odebrání softwaru v počítači lze nalézt v protokolech událostí systému Windows. Tyto protokoly lze také použít k identifikaci konkrétního uživatele, který inicioval instalaci nebo odebrání aplikace.
Jak zobrazit protokoly instalace aplikace ve Windows:
- Otevřete modul snap-in Prohlížeč událostí (
eventvwr.msc) - RozšířitProtokoly systému Windows->Aplikace
- Klikněte pravým tlačítkem na protokol a vyberteFiltrovat aktuální protokol
- Jako zdroj události vyberte MsiInstaller.
- Informace o instalaci nebo odebrání softwaru naleznete v následujících událostech.EventID11707–
Installation completed successfully.
ID události11724–Removal completed successfully.
Tento protokol obsahuje pouze instalační události pro aplikace zabalené v balíčcích MSI/MSP (nebo v souborech EXE, které skutečně spouštějí instalační program MSI pomocímsiexec.exe). Služba Windows Installer (MSIServer) se používá k instalaci balíčků MSI. Tato služba se používá ke správě instalace, údržby, vrácení zpět a odebrání softwaru v systému Windows. Některé aplikace distribuované ve formátu EXE nepoužívají službu MSIServer, a proto takové události nezapisují. - Chcete-li zjistit, který konkrétní uživatel program odinstaloval nebo nainstaloval, přejděte na stránkuPodrobnostive vlastnostech události. Přepněte naXML pohledrežimu. SID uživatele je uvedeno vZabezpečení UserIDhodnota atributu. Zkopírujte to.
- Chcete-li převést uživatelské SID na název účtu, spusťte následující příkaz:
wmic useraccount where sid='S-1-5-21-3414967564-454070197-2746421142-1001' get name
Tento příkaz vrátí jméno uživatele, který inicioval instalaci nebo odebrání programu.
Chcete-li získat všechny události instalace a odebrání softwaru z protokolu událostí, použijte rutinu Get-WinEvent. Chcete-li například vypsat historii úspěšných instalací softwaru:
Get-WinEvent -FilterHashtable @{LogName="Application";ID=11707;ProviderName="MsiInstaller"} | Select TimeCreated,Message
Chcete-li ukládat protokoly Prohlížeče událostí do maximální hloubky, zvyšte limit velikosti protokolu událostí systému Windows.
Windows má pohodlnější nástroj pro zobrazení historie instalace, odebrání a aktualizace aplikací, včetně aplikací Microsoft Store (UWP) a protokolů Windows Update. Toto je systémMonitor spolehlivosti.
Reliability Monitor je samostatný grafický aplet v klasickém ovládacím panelu, který zobrazuje index stability systému a podrobné informace o událostech, které by mohly ovlivnit stabilitu operačního systému (padnutí aplikace, instalace softwaru, události odebrání atd.).
Chcete-li otevřít Sledování spolehlivosti, přejděte na Ovládací panely -> Zabezpečení a údržba. VÚdržbaklikněte naZobrazit historii spolehlivostiodkaz (nebo spustitperfmon /relpříkaz).
SOUVISEJÍCÍ:Secles Ransomware: Průvodce odstraněním
Podívejte se, které aktualizace, programy a aplikace UWP byly nainstalovány nebo odstraněny podle dne nebo týdne. Pro více informací o akci klikněte naZobrazit technické detailytlačítko.
Tento skript zobrazuje všechny události instalace, odebrání a aktualizace programu (včetně aktualizací Windows a instalací APPX/MSIX) v počítači za posledních 7 dní v interaktivní grafické tabulce Out-GridView.
$DaysAgo = (Get-Date).AddDays(-7)
$RealiabilityFilter= "TimeGenerated > '$DaysAgo' and (SourceName="Microsoft-Windows-WindowsUpdateClient" or SourceName="MsiInstaller")"
Get-CimInstance -ClassName Win32_ReliabilityRecords -filter $RealiabilityFilter|Select TimeGenerated,ProductName,User,message |Out-GridView
Filtrujte události podle konkrétní aplikace, události nebo uživatele pomocí vestavěných filtrů Out-GridView.
