Cum aș putea găsi jurnalul de activitate net.exe în Windows Server 2019?

Am Windows Server 2019. este un server de baze de date (MSSQL Server) în mediul intranet. Îi monitorizez procesul și am descoperit că uneori procesul de mai jos rulează automat fără nicio cauză.

„C:\Windows\system32\cmd.exe” /c „administratori net localgroup” "administratori net localgroup"

Verific lista de utilizatori și lista de grupuri și nu văd utilizatori noi. Nu știu de ce net.exe rulează cu această comandă pentru a crea noi conturi de administrator local. cum aș putea să-i verific cauza principală și există soluții pentru a găsi jurnalul de activitate net.exe?

Verifică ID eveniment 4688 care este înregistrat de Windows ori de câte ori este pornit un proces. Link-ul explică, de asemenea, cum să configurați auditarea pe sistemul dvs. pentru a vă asigura că acest eveniment este efectiv înregistrat.

Acest lucru este cu siguranță puțin suspect, dar începeți cu privire la evenimentul care vă arată lucruri precum PID-ul părintelui, astfel încât să puteți vedea ce proces a început de fapt acest proces.