Как посмотреть последние действия на компьютере windows 10

Как можно узнать историю действий на компьютере

Немногие знают, что разработчики ОС Windows внедрили в программный код своего продукта специальную функцию, позволяющую отслеживать любые изменения состояния системы. Таким образом, даже без установки стороннего ПО, любой пользователь в подробностях может узнать обо всех процессах, запущенных на его компьютере.

Подобное бывает полезно в самых разнообразных случаях, начиная от необходимости восстановить последовательность рабочей процедуры и заканчивая подозрениями о незаконном использовании машины третьим лицом.

Вся регистрируемая информация, классифицируется операционной системой и собирается в удобном и упорядоченном виде в соответствующих журналах Windows.

Для того чтобы найти эти журналы необходимо из меню «Пуск» нажать на иконку «Панель управления» и далее «Администрирование». В следующем окне среди ярлыков служб нужно выбрать «Просмотр событий», который в конечном итоге и содержит всю необходимую информацию.

Открывшееся окно разделено на три функциональные части: слева дерево категорий, по центру перечень событий, а справа действия.

Среди последних можно выделить возможность сохранения и поиска, при этом для конкретизации запроса также предусмотрен фильтр, позволяющий отсечь все несущественные и ненужные данные.

Ещё одной полезной функцией является очистка журнала, помогающая сократить общий объём баз, тем самым облегчив поиск в будущем, и, помимо всего прочего, скрыть следы своего вмешательства в работу компьютера.

Журнал действий Windows и конфиденциальность

Журнал действий помогает отслеживать ваши действия на устройстве, например приложения и службы, которые вы используете, а также просматриваемые веб-сайты. Журнал действий хранится локально на устройстве, и если вы вошли на устройство с помощью рабочей или учебной учетной записи и предоставили ваше разрешение, Windows отправляет журнал действий в корпорацию Майкрософт. Затем корпорация Майкрософт использует данные журнала действий, чтобы предоставить вам персонализированные возможности (например, упорядочивания действий на основе длительности использования) и соответствующие предложения (например, прогнозирование потребностей на основе журнала действий).

Вы можете управлять параметрами журнала действий, чтобы выбрать, что хранить и делиться ими.

Функции, использующие журнал действий

В следующих функциях Windows используется журнал действий. Вернитесь на эту страницу после выпуска и обновления Windows, чтобы узнать о новых службах и функциях, использующих журнал действий:

• Временная шкала. Просмотрите временную шкалу действий и выберите, следует ли возобновить эти действия с устройства. Например, предположим, что вы редактируем документ Word на устройстве, но не можете завершить работу до того, как вам придется перестать работать в течение дня. Если на странице параметров журнала действий включить журнал действий в Магазине на этом устройстве, вы увидите, что действие Word на временной шкале будет отображаться на следующий день и в течение следующих нескольких дней, а затем вы сможете продолжить работу над ним. Если вы выполняете вход с помощью рабочей или учебной учетной записи, вы можете возобновить работу с другого устройства, если на странице параметров журнала действий включен параметр отправки журнала действий в Microsoft или если в Windows 11 включен параметр «Специализированные возможности» на странице параметров отзывов & диагностики в Windows 10.
• Microsoft Edge. При использовании устаревшая версия Microsoft Edge журнал браузера будет включен в журнал действий. Журнал действий не будет сохранен при просмотре в окнах InPrivate.

Корпорация Майкрософт также использует журнал действий для улучшения продуктов и служб Майкрософт при включении параметра отправки журнала действий в корпорацию Майкрософт. Мы применяем методы машинного обучения, чтобы лучше понять, как клиенты в общем используют наши продукты и службы. Мы также отслеживаем ошибки, с которыми сталкиваются клиенты, и помогаем их исправить.

Параметры учетной записи Майкрософт не позволяют отправлять журнал действий в корпорацию Майкрософт, но журнал действий будет храниться на устройстве, чтобы отслеживать действия.

Журнал действий для нескольких учетных записей

Для нескольких учетных записей журнал действий собирается и хранится локально для каждой локальной учетной записи, учетной записи Майкрософт, рабочей или учебной учетной записи, связанной с устройством, в учетных записях > параметров > Email & учетных записях. При отправке журнала действий для рабочей или учебной учетной записи в корпорацию Майкрософт действия из основной рабочей или учебной учетной записи на этом устройстве отправляются в корпорацию Майкрософт. Если у вас несколько устройств и несколько учетных записей на этих компьютерах, вы сможете увидеть журнал действий из основной учетной записи второго устройства на первом устройстве (в качестве дополнительного учетной записи). Эти учетные записи также можно просмотреть в разделе Windows 10 «Параметры > Конфиденциальность>» и в Windows 11 в разделе «Параметры > Конфиденциальность & Журнал действий>«, где можно отфильтровать действия из определенных учетных записей, отображаемые на временной шкале. Скрытие учетной записи не приводит к удалению данных на устройстве или в облаке.

Дополнительные сведения о том, как продукты и службы Майкрософт используют эти данные для персонализации взаимодействия с соблюдением конфиденциальности, см. в заявлении о конфиденциальности.

Управление параметрами журнала действий

Журнал действий можно настраивать. В любое время можно остановить сохранение журнала действий или отправить его в корпорацию Майкрософт.

7 способов узнать, кто и чем занимался на компьютере в ваше отсутствие (+бонус)

Вы вернулись за свое рабочее место и чувствуете, что что-то не так… Монитор стоит под непривычным углом, какие-то крошки на клавиатуре и столе. Вы подозреваете, что кто-то пользовался компьютером в ваше отсутствие? Что же, вполне возможно. Однако доказать вы это не сможете. Или все-таки способ есть? В этой статье я расскажу, как это можно доказать и как поймать с поличным неизвестного.

На самом деле никакая деятельность на компьютере не проходит бесследно. Конечно, если ваш незваный гость не хакер-профессионал. Нет у вас таких знакомых? Тогда начинаем. Начнем с самого простого и постепенно будем углубляться в недра операционной системы.

1. Проверяем историю браузеров

Читайте также:

Для начала проанализируем историю посещения страниц в Интернете. Эта информация может быть добыта из журналов браузеров, который старательно хранит список всех посещенных сайтов.

Например, в браузере Google Chrome это делается так. Напишите в строке адреса «chrome://history/» или нажмите сочетание Ctrl-H. Результат представлен на рисунке.

Читайте также:

1. 10 распространенных ошибок неопытных пользователей Windows
2. 2 способа восстановить удаленные файлы в Windows без сторонних утилит
3. 5 мифов и правдивых высказываний про Windows 10
4. Почему не нужно очищать Корзину Windows
5. Как легко выжить без стороннего антивируса на компьютере

2. Проверяем, что искали в Google

Смотрите также

Компания Google очень аккуратно собирает всю историю ваших действий во всех его сервисах и приложениях. И вы, как владелец этих персональных данных, можете проверить всю свою историю в любой момент. Собственно, как и удалить ее, или даже запретить Google сохранять все эти данные.

Среди всей хранимой в Google информации можно найти как поисковые запросы и посещенные сайты, так и открываемые приложения на телефонах.

Если кто-то в ваше отсутствие пользовался компьютером и использовал сервисы Google под вашей учетной записью, то вы легко сможете увидеть, что именно просматривалось, куда заходил этот человек, какие поисковые запросы вводил и многое другое.

3. Заглянем в Корзину

Вполне вероятно, что неизвестный мог что-то удалить и забыть при этом очистить Корзину. Во-первых, это позволит понять, что именно было удалено. Во-вторых, позволит восстановить это что-то, если оно важно для вас или представляет какой-то интерес для дальнейшего расследования в изучении действий неизвестного.

Для этого просто открываем Корзину и сортируем файлы и папки в ней по дате удаления. Просто кликаем по заголовку столбца «Дата удаления» и содержимое сортируется в нужном нам порядке. Ищем интересующий период времени и смотрим, было ли что-то удалено и что именно (если было).

Не исключено, что неизвестный удалил это из Корзины или целиком ее очистил в процессе заметания следов. Но чем черт не шутит, потому лучше всего перепроверить.

4. Недавно измененные файлы

В меню под кнопкой «Пуск» Windows (кроме Windows 8) есть пункт «Недавние файлы»). Там вы также найдете следы деятельности неизвестного. Чтобы выяснить подобную статистику в Windows 8 придется сделать следующие действия: жмем Win+R, в окне пишем «recent» и нажимаем Enter. Откроется папка недавних файлов.

Конечно, может и не повезти, если неизвестный знает о возможности очистить эту папку. Но ее пустота станет еще одним доказательством чужого вмешательства. Ведь вы этого не делали!

Тем не менее, и в случае очистки папки недавних файлов сделать кое-что можно. Откройте Проводник и попробуйте поискать на диске C (можно искать по всем дискам, если у вас их много) файлы с недавней датой изменения.

5. Папка «Загрузки»

Не лишним будет заглянуть в папку «Загрузки» и глянуть, было ли что-то скачено в период вашего отсутствия. Если было, то вы увидите это сразу.

Для этого просто отсортируйте данные по дате создания (столбец «Дата», переключившись предварительно на вкладке «Вид» в редим «Таблица».

6. Ищем программы, которые запускались в ваше отсутствие

В последних версиях операционной системы Windows (если не ошибаюсь, что начиная с 7 или даже с Vista) среди атрибутов файла имеется поле «Дата открытия». Соответственно, она означает, когда пользователь совершил на нем двойной клик и запустил его.

Для этого нам необходимо найти все программы. Запускаем Проводник и заходим в папку «C:\Program Files\», в правом верхнем углу в поле для поиска вводим поисковой запрос «*.exe» и жмем Enter.

В списке начнут появляться исполняемые файлы, которые находятся в этой папке.

Нам нужно на вкладке «Вид» переключиться в режим «Таблица». Затем кликнуть по заголовку любого столбца правой кнопкой мышки и в появившемся меню выбрать пункт «Подробнее…».

В появившемся маленьком окошке ищем пункт «Дата доступа», устанавливаем напротив него галочку и жмем ОК.

Остается кликнуть по заголовку столбца «Дата доступа» и найти интересующий период времени, когда предполагаемый неизвестный что-то делал на компьютере.

Для 64-разрядных Windows есть еще одна папка — «C:\Program Files (x86)\». Проделайте там те же действия.

Также не забывайте о папке с играми, если они установлены в другом месте (например, на другом диске). Так стоит проделать те же действия. Ну и, конечно же, если у вас есть еще где-то установленные программы, то стоит заглянуть туда тоже.

Обратите внимание! Если вы с момента включения компьютера запускали какие-либо приложения, то данные о предыдущем запуске будут удалены. Если неизвестный запускал ранее те же приложения, что запустили вы после него, то в свойствах файла этих приложений будет дата вашего запуска. Дату предыдущего запуска узнать будет уже нельзя в данном случае.

7. Анализируем файлы журналов

Журналы Windows содержат довольно много информации о работе пользователей, ходе загрузки операционной системы и ошибках в работе приложений и ядра системы. Вот туда мы и заглянем в первую очередь.

Откройте «Панель управления» (Control Panel), найдите пункт «Администрирование» (Administrative Tools) и выберите «Управление компьютером» (Computer Management).

Здесь вы увидите «Просмотр событий» (Event Viewer) в левой навигационной панели. Вот в этом пункте меню и находятся «Журналы Windows». Их несколько: Приложение, Безопасность, Установка, Система.

Журнал безопасности

Нас сейчас больше всего интересует журнал безопасности. Он обязательно содержит информацию о входе в систему всех пользователей. Найдите запись о вашем последнем выходе из системы. А все записи журнала, которые будут расположены между вашим последним выходом и сегодняшним входом — это следы деятельности другого лица.

Журнал приложений

Теперь перейдем к журналу приложений. Он тоже очень важен для нашего маленького расследования. Этот журнал содержит информацию о приложениях, которые были запущены в наше отсутствие. Для подтверждения факта, что не вы эти приложения запускали, ориентируйтесь на время события.

Итак, анализируя два этих журнала, вы точно определите не только сам факт входа под вашим именем в ваше отсутствие, но и определите приложения, которые запускал этот неизвестный.

[Бонус] Ставим ловушку для неизвестного

Вот теперь, имея все доказательства на руках, мы можем предположить, кто использует наш компьютер и поговорить с ним. Но еще лучше взять его с поличным! Для этого можно использовать штатный Планировщик задач Windows.

При создании задачи укажите событие (триггер) «Вход в Windows».

Теперь продумайте, что вы бы хотели сделать, когда без вас кто-то войдет в компьютер. Самый простой вариант — послать самому себе письмо, например, на коммуникатор.

Хотя лично мне больше понравился бы вариант «Запустить программу». А потом бы я скачал какую-нибудь программу-розыгрыш из тех, что переворачивают экран или вызывают его «осыпание». Представьте себе лицо неизвестного в этот момент!

Понравилась статья? Поделитесь!

Читайте также:

1. 10 распространенных ошибок неопытных пользователей Windows
2. 2 способа восстановить удаленные файлы в Windows без сторонних утилит
3. 5 мифов и правдивых высказываний про Windows 10
4. Почему не нужно очищать Корзину Windows
5. Как легко выжить без стороннего антивируса на компьютере

Как посмотреть историю и последние действия на компьютере

WiFiGId снова приветствует вас! Бывают случаи, когда нужно посмотреть последние действия на компьютере. Например, когда открывали какой-то документ, и забыли его расположение, или забыли классный сайт, который недавно посещали, а быть может появились подозрения на злоумышленника (младшего брата или жены), который в ваше отсутствие орудует направо и налево на вашем компьютере. В этой статье попробую показать актуальные рабочие возможности по воспроизведению последних действий.

Способ 1 – Журнал событий

Журнал событий – это официальная утилита Windows. Она фиксирует далеко не все, но те же моменты с включением/выключением компьютера здесь поймать можно. Делаем по шагам.

1. Запускаем «Выполнить» ( + R ) и исполняем команду eventvwr (а можете через поиск Windows попробовать найти утилиту «Просмотр событий»).

1. Переходим слева в «Журналы Windows – Система». Справа выбираем «Фильтр текущего журнала» и устанавливаем там нужную нам дату (я ставлю «Последние 24 часа») и галочку «Сведения».

1. Пробегаемся глазом по журналу и в столбце «Источник» ищем события связанные с «power» (обычно это включение-выключение-перезагрузка компьютера) и «winlogon» (вход пользователя в систему).

Например, на скриншоте выше в 22:38 я отловил какой-то вход в систему (на самом деле в это время прилетело обновление Windows, и просто была возможность сделать перезагрузку). Так можно установить время использования компьютера или ноутбука без вас.

Способ 2 – Недавние документы

Продолжаем расследование истории компьютера. Теперь предлагаю посмотреть последние документы, с которыми работали на компьютере.

1. Снова открываем «Выполнить» ( + R ) с командой shell:recent.
2. Откроется окно «Недавние документы», где представлен список измененных файлов, которые можно упорядочить по дате.

А еще такая функция есть и у отдельных программ: например, при открытии Word, Excel или Photoshop на главной странице будет список последних открытых файлов. Можно пробежаться по своему списку и посмотреть, что использовалось. Если хотите глянуть историю последних фильмов – открываем программу, с помощью которой вы их смотрите, и ищете нужный пункт (у меня в VLC такое имеется).

Способ 3 – История браузера

Сейчас если кто-то использует компьютер, он как правило побежит смотреть что-то в интернете. Так что если хотите узнать наверняка, открываем свой браузер и смотрим историю посещений. Показываю на примере Google Chrome, в других все делается по аналогии.

1. Переходим в меню и выбираем «История» (горячие клавиши Ctrl + H ).

1. Наблюдаем полную картину посещений. Актуально, если вы ее не чистите вручную.

Для справки. Если вы привязывали свой аккаунт Google к браузере, то можете кликнуть прямо там по своей аватарке, выбрать пункт «Перейти в настройки аккаунта Google», а уж там выбрать «Данные и конфиденциальность» – «История приложений и веб-поиска». Способ муторный, подходит далеко не все, но существует, поэтому выношу его таким небольшим дополнением.

Способ 4 – Корзина и Загрузки

Этот чеклист не был бы полным, если бы я не упомянул про эти чудесные папки. Все, что удалялось, попадает в Корзину, а все, что загружалось через браузер, сохраняется в Загрузках. Поэтому стоит посетить два этих места, быть может, там остались какие-то сторонние следы. Если у вы почему-то не знаете, как попасть в эти папки, оставляю команды для той же утилиты «Выполнить».

shell:downloads – Загрузки
shell:RecycleBinFolder – Корзина

Способ 5 – Сторонние программы

Если способов выше вам недостаточно, можно попробовать использовать сторонние программы. Лично я не сторонник таких методов, поэтому в формате короткой справки.

• Clever Control . Программа для отслеживания действий сотрудников. Устанавливается, работает скрытно, передает данные веб-камеры, позволяет следить за действиями, есть возможность удаленного подключения.
• Power Spy . Расширенный журнал событий и истории просмотров. После запуска есть возможность выбора нужных пользователей и типа логируемого события, например, «Windows Opened» (загрузка Windows).
• NeoSpy . Тот же самый журнал, но уже в красивом интерфейсе.