Как посмотреть последние действия на компьютере

Журнал действий Windows и конфиденциальность

Журнал действий помогает отслеживать ваши действия на устройстве, например приложения и службы, которые вы используете, а также просматриваемые веб-сайты. Журнал действий хранится локально на устройстве, и если вы вошли на устройство с помощью рабочей или учебной учетной записи и предоставили ваше разрешение, Windows отправляет журнал действий в корпорацию Майкрософт. Затем корпорация Майкрософт использует данные журнала действий, чтобы предоставить вам персонализированные возможности (например, упорядочивания действий на основе длительности использования) и соответствующие предложения (например, прогнозирование потребностей на основе журнала действий).

Вы можете управлять параметрами журнала действий, чтобы выбрать, что хранить и делиться ими.

Функции, использующие журнал действий

В следующих функциях Windows используется журнал действий. Вернитесь на эту страницу после выпуска и обновления Windows, чтобы узнать о новых службах и функциях, использующих журнал действий:

Временная шкала. Просмотрите временную шкалу действий и выберите, следует ли возобновить эти действия с устройства. Например, предположим, что вы редактируем документ Word на устройстве, но не можете завершить работу до того, как вам придется перестать работать в течение дня. Если на странице параметров журнала действий включить журнал действий в Магазине на этом устройстве, вы увидите, что действие Word на временной шкале будет отображаться на следующий день и в течение следующих нескольких дней, а затем вы сможете продолжить работу над ним. Если вы выполняете вход с помощью рабочей или учебной учетной записи, вы можете возобновить работу с другого устройства, если на странице параметров журнала действий включен параметр отправки журнала действий в Microsoft или если в Windows 11 включен параметр «Специализированные возможности» на странице параметров отзывов & диагностики в Windows 10.

Microsoft Edge. При использовании устаревшая версия Microsoft Edge журнал браузера будет включен в журнал действий. Журнал действий не будет сохранен при просмотре в окнах InPrivate.

Корпорация Майкрософт также использует журнал действий для улучшения продуктов и служб Майкрософт при включении параметра отправки журнала действий в корпорацию Майкрософт. Мы применяем методы машинного обучения, чтобы лучше понять, как клиенты в общем используют наши продукты и службы. Мы также отслеживаем ошибки, с которыми сталкиваются клиенты, и помогаем их исправить.

Параметры учетной записи Майкрософт не позволяют отправлять журнал действий в корпорацию Майкрософт, но журнал действий будет храниться на устройстве, чтобы отслеживать действия.

Журнал действий для нескольких учетных записей

Для нескольких учетных записей журнал действий собирается и хранится локально для каждой локальной учетной записи, учетной записи Майкрософт, рабочей или учебной учетной записи, связанной с устройством, в учетных записях > параметров > Email & учетных записях. При отправке журнала действий для рабочей или учебной учетной записи в корпорацию Майкрософт действия из основной рабочей или учебной учетной записи на этом устройстве отправляются в корпорацию Майкрософт. Если у вас несколько устройств и несколько учетных записей на этих компьютерах, вы сможете увидеть журнал действий из основной учетной записи второго устройства на первом устройстве (в качестве дополнительного учетной записи). Эти учетные записи также можно просмотреть в разделе Windows 10 «Параметры > Конфиденциальность>» и в Windows 11 в разделе «Параметры > Конфиденциальность & Журнал действий>«, где можно отфильтровать действия из определенных учетных записей, отображаемые на временной шкале. Скрытие учетной записи не приводит к удалению данных на устройстве или в облаке.

Дополнительные сведения о том, как продукты и службы Майкрософт используют эти данные для персонализации взаимодействия с соблюдением конфиденциальности, см. в заявлении о конфиденциальности.

Управление параметрами журнала действий

Журнал действий можно настраивать. В любое время можно остановить сохранение журнала действий или отправить его в корпорацию Майкрософт.

Просмотр последних действий на компьютере

Иногда возникает необходимость просмотреть действия, которые были совершены на компьютере во время его последнего запуска. Это может понадобиться в том случае, если вы хотите проследить за другим человеком или же вам по каким-то причинам требуется отменить либо вспомнить то, что вы сами совершили.

Варианты просмотра последних действий

Действия пользователей, системные события и данные входа сохраняются ОС в журналах событий. Информацию о последних действиях можно получить из них или воспользоваться специальными приложениями, которые также умеют запоминать события и предоставлять отчеты для их просмотра. Далее мы рассмотрим несколько способов, с помощью которых вы сможете узнать, что делал пользователь во время последней сессии.

Способ 1: Power Spy

PowerSpy — это довольно удобное в использовании приложение, которое работает почти со всеми версиями Windows и загружается автоматически при старте системы. Оно записывает все происходящее на ПК и в дальнейшем дает возможность просмотреть отчет о произведённых действиях, который можно сохранить в удобном для вас формате.

Чтобы просмотреть «Журнал событий», потребуется для начала выбрать тот раздел, который вас интересует. Для примера мы возьмем открытые окна.

После запуска приложения нажмите на иконку «Windows opened»

На экране появится отчет с перечислением всех отслеженных действий.

Подобным образом вы сможете просматривать другие записи журнала программы, которых предоставляется довольно много.

Способ 2: NeoSpy

NeoSpy — это универсальное приложение, следящее за действиями на компьютере. Оно может работать в скрытом режиме, пряча свое присутствие в ОС, начиная с инсталляции. Пользователь, который устанавливает НеоСпай, может выбрать один из двух вариантов его работы: в первом случае приложение не будет скрыто, второй же предполагает сокрытие как программных файлов, так и ярлыков.

NeoSpy обладает довольно широким функционалом и может использоваться как для домашнего отслеживания, так и в офисах.

Чтобы просмотреть отчет о последних действиях в системе, потребуется сделать следующее:

1. Откройте приложение и перейдите в раздел «Отчеты».
2. Далее нажмите на «Отчет по категориям».
3. Выберите дату записи.
4. Нажмите на кнопку «Загрузить».

Перед вами откроется список действий за выбранную дату.

Способ 3: Журнал Windows

Журналы операционной системы сохраняют множество данных о действиях пользователей, процессе загрузки и ошибках в работе программного обеспечения и самой Windows. Они делятся на отчеты программ, с информацией об установленных приложениях, «Журнал безопасности», содержащий данные о редактировании системных ресурсов и «Журнал системы», показывающий неполадки в ходе загрузки Windows. Чтобы просмотреть записи, потребуется осуществить следующие действия:

1. Откройте «Панель управления» и зайдите в «Администрирование».
2. Здесь выберите иконку «Просмотр событий».
3. В открывшемся окне перейдите в пункт «Журналы Windows».

Теперь вы знаете, как можно просмотреть последние действия пользователей на компьютере. Журналы Windows не очень информативны по сравнению с приложениями, описанными в первом и втором способе, но так как они встроены в систему, вы сможете всегда ими воспользоваться, не устанавливая для этого стороннее ПО.

Как просмотреть действия пользователя на Windows ПК

Читайте, какую информацию о действиях пользователя сохраняет Windows и как её посмотреть. Как просмотреть историю действий пользователя в Интернете. Многие знают, и мы уже описывали в своих статьях о том, что, конфиденциальность пользователя в сети понятие относительное. Пользуясь интернетом, мы оставляем много следов в профиле поисковой системы, которая запоминает наши поисковые запросы и историю посещённых сайтов, историю просмотров роликов в YouTube, а иногда и геоданные пользователя. Не «грешат» этим и социальные сети.

В интернет браузерах по умолчанию активна функция сохранения истории посещения страниц, логинов и паролей, а также данных для автозаполнения. В этой же статье мы рассмотрим какую информацию о действиях пользователя сохраняет Windows и как её посмотреть?

История браузера

Итак, если вам необходимо узнать пользовался ли кто-либо компьютером и Интернет в ваше отсутствие, то первым и самым простым способом сделать это – проверить историю браузеров.

О том, как сделать это у нас есть отдельная статья.

Поисковая система

Для осуществления поиска нужного сайта, страницы, видео или любой другой информации в Интернете, требуется два обязательных инструмента: интернет браузер и поисковая система. И оба эти инструмента умеют хранить историю посещаемых пользователем страниц, историю просмотров (если говорить о видео в YouTube), историю поиска и поисковых запросов, а некоторые инструменты также и комментарии или записи в сообществах.

Поэтому следующий способ посмотреть действия пользователя на компьютере с использованием интернета – это посмотреть историю сетевой активности в онлайн аккаунтах поисковых систем.

Детальную статью об этом читайте здесь.

Корзина

От активности в сети, перейдём к тому, как посмотреть действия пользователя в самой Windows. Первое, с чего рекомендуем начать – это проверить Корзину. Ведь все удаляемые на компьютере файлы в первую очередь попадают именно туда.

Чтобы понять удалялись ли на компьютере какие-либо файлы в ваше отсутствие, откройте корзину и выберите структуру файлов в виде таблицы.

После этого отсортируйте файлы по дате удаления, кликнув на названии столбика «Дата удаления». В результате легко можно увидеть последние удалённые файлы.

Дата изменения файлов

В любой папке Windows можно отсортировать файлы по дате изменения. Но если вы не знаете в какой папке искать файлы, которые могли быть изменены в ваше отсутствие или без вашего ведома, то чтобы сделать это в Windows есть способ.

Запустите инструмент «Выполнить» кликнув правой мышкой на меню Пуск или нажатием сочетания клавиш Win + R.

Введите в поле «Открыть» команду recent и нажмите OK.

В результате откроется папка с последними изменёнными файлами на компьютере, в хронологической последовательности, начиная с последнего изменённого.

Загрузки

По умолчанию, все браузеры сохраняют загружаемые с сети файлы в системную папку «Загрузки». Перейдите в данную папку и отсортируйте файлы по дате загрузки. Так можно увидеть последние загруженные файлы на ПК. Возможно там будут такие, которые загружали не вы…

Если установленная по умолчанию папка на вашем браузере изменена, то проверьте её также.

Сортировка программ по дате запуска

Все программы на компьютере запускаются с помощью исполняемых файлов с расширением .exe. Чтобы узнать дату и время запуска программ:

Откройте папку «Этот компьютер» на вашем ПК и введите в поле «Поиск» ключ «.exe». В результате будут найдены все файлы на ПК с данным расширением.

Кликните по заголовку любого столбика правой кнопкой мыши и выберите меню «Подробнее»…

Откроется окно выбора столбцов. Найдите в окне столбец с названием «Дата доступа», поставьте напротив него галочку и нажмите Ok.

В результате, в окне результатов поиска появится столбик «Дата доступа».

Теперь можно увидеть даты доступа с компьютера к тем или иным программам. Если по названию не понятно к какой программе принадлежит EXE файл, то можно посмотреть его расположение в столбике «Расположение», или запустить его прямо отсюда.

Журналы Windows

В Журналах Windows операционная система регистрирует и сохраняет все происходящие события, регистрирует ошибки, информационные сообщения и предупреждения программ, а также информацию о работе пользователей и операционной системы.

Чтобы перейди к Журналам Windows, откройте Панель управления / Администрирование / Управление компьютером.

В инструменте «Управление компьютером» перейдите в Служебные программы / Просмотр событий / Журналы Windows.

Журналы разнесены по категориям. Например, журналы приложений находятся в категории Приложения, а системные журналы – в категории Система. Если на компьютере настроен аудит событий безопасности, например, аудит событий входа в систему – тогда события аудита регистрируются в категории Безопасность.

Конечно же информация, которая отображается в журналах событий Windows предназначена для системных администраторов, и прочесть её обычному пользователю не просто. Тем не менее, если внимательно посмотреть, то в журнале Приложение, можно увидеть события, которые сгенерированы приложениями в хронологической последовательности.

А также данные о дате и времени входа в операционную систему и выхода из неё. А другими словами включения или отключения ПК. Такие данные можно увидеть в журналах Безопасность и Система.

7 способов узнать, кто и чем занимался на компьютере в ваше отсутствие (+бонус)

Вы вернулись за свое рабочее место и чувствуете, что что-то не так… Монитор стоит под непривычным углом, какие-то крошки на клавиатуре и столе. Вы подозреваете, что кто-то пользовался компьютером в ваше отсутствие? Что же, вполне возможно. Однако доказать вы это не сможете. Или все-таки способ есть? В этой статье я расскажу, как это можно доказать и как поймать с поличным неизвестного.

На самом деле никакая деятельность на компьютере не проходит бесследно. Конечно, если ваш незваный гость не хакер-профессионал. Нет у вас таких знакомых? Тогда начинаем. Начнем с самого простого и постепенно будем углубляться в недра операционной системы.

1. Проверяем историю браузеров

Для начала проанализируем историю посещения страниц в Интернете. Эта информация может быть добыта из журналов браузеров, который старательно хранит список всех посещенных сайтов.

Например, в браузере Google Chrome это делается так. Напишите в строке адреса «chrome://history/» или нажмите сочетание Ctrl-H. Результат представлен на рисунке.

Читайте также:

2. Проверяем, что искали в Google

Компания Google очень аккуратно собирает всю историю ваших действий во всех его сервисах и приложениях. И вы, как владелец этих персональных данных, можете проверить всю свою историю в любой момент. Собственно, как и удалить ее, или даже запретить Google сохранять все эти данные.

Среди всей хранимой в Google информации можно найти как поисковые запросы и посещенные сайты, так и открываемые приложения на телефонах.

Если кто-то в ваше отсутствие пользовался компьютером и использовал сервисы Google под вашей учетной записью, то вы легко сможете увидеть, что именно просматривалось, куда заходил этот человек, какие поисковые запросы вводил и многое другое.

Найти и изучить всю эту информацию вы можете в специальном разделе «Отслеживание действий».

3. Заглянем в Корзину

Вполне вероятно, что неизвестный мог что-то удалить и забыть при этом очистить Корзину. Во-первых, это позволит понять, что именно было удалено. Во-вторых, позволит восстановить это что-то, если оно важно для вас или представляет какой-то интерес для дальнейшего расследования в изучении действий неизвестного.

Для этого просто открываем Корзину и сортируем файлы и папки в ней по дате удаления. Просто кликаем по заголовку столбца «Дата удаления» и содержимое сортируется в нужном нам порядке. Ищем интересующий период времени и смотрим, было ли что-то удалено и что именно (если было).

Не исключено, что неизвестный удалил это из Корзины или целиком ее очистил в процессе заметания следов. Но чем черт не шутит, потому лучше всего перепроверить.

4. Недавно измененные файлы

В меню под кнопкой «Пуск» Windows (кроме Windows 8) есть пункт «Недавние файлы»). Там вы также найдете следы деятельности неизвестного. Чтобы выяснить подобную статистику в Windows 8 придется сделать следующие действия: жмем Win+R, в окне пишем «recent» и нажимаем Enter. Откроется папка недавних файлов.

Конечно, может и не повезти, если неизвестный знает о возможности очистить эту папку. Но ее пустота станет еще одним доказательством чужого вмешательства. Ведь вы этого не делали!

Тем не менее, и в случае очистки папки недавних файлов сделать кое-что можно. Откройте Проводник и попробуйте поискать на диске C (можно искать по всем дискам, если у вас их много) файлы с недавней датой изменения.

5. Папка «Загрузки»

Не лишним будет заглянуть в папку «Загрузки» и глянуть, было ли что-то скачено в период вашего отсутствия. Если было, то вы увидите это сразу.

Для этого просто отсортируйте данные по дате создания (столбец «Дата», переключившись предварительно на вкладке «Вид» в редим «Таблица».

6. Ищем программы, которые запускались в ваше отсутствие

В последних версиях операционной системы Windows (если не ошибаюсь, что начиная с 7 или даже с Vista) среди атрибутов файла имеется поле «Дата открытия». Соответственно, она означает, когда пользователь совершил на нем двойной клик и запустил его.

Для этого нам необходимо найти все программы. Запускаем Проводник и заходим в папку «C:\Program Files\», в правом верхнем углу в поле для поиска вводим поисковой запрос «*.exe» и жмем Enter.

В списке начнут появляться исполняемые файлы, которые находятся в этой папке.

Нам нужно на вкладке «Вид» переключиться в режим «Таблица». Затем кликнуть по заголовку любого столбца правой кнопкой мышки и в появившемся меню выбрать пункт «Подробнее…».

В появившемся маленьком окошке ищем пункт «Дата доступа», устанавливаем напротив него галочку и жмем ОК.

Остается кликнуть по заголовку столбца «Дата доступа» и найти интересующий период времени, когда предполагаемый неизвестный что-то делал на компьютере.

Если вы используете 64-разрядную версию Windows, то у вас будет еще одна папка — «C:\Program Files (x86)\». С ней нужно проделать то же самое.

Также не забывайте о папке с играми, если они установлены в другом месте (например, на другом диске). Так стоит проделать те же действия. Ну и, конечно же, если у вас есть еще где-то установленные программы, то стоит заглянуть туда тоже.

Обратите внимание! Если вы с момента включения компьютера запускали какие-либо приложения, то данные о предыдущем запуске будут удалены. Если неизвестный запускал ранее те же приложения, что запустили вы после него, то в свойствах файла этих приложений будет дата вашего запуска. Дату предыдущего запуска узнать будет уже нельзя в данном случае.

7. Анализируем файлы журналов

Журналы Windows содержат довольно много информации о работе пользователей, ходе загрузки операционной системы и ошибках в работе приложений и ядра системы. Вот туда мы и заглянем в первую очередь.

Откройте «Панель управления» (Control Panel), найдите пункт «Администрирование» (Administrative Tools) и выберите «Управление компьютером» (Computer Management).

Здесь вы увидите «Просмотр событий» (Event Viewer) в левой навигационной панели. Вот в этом пункте меню и находятся «Журналы Windows». Их несколько: Приложение, Безопасность, Установка, Система.

Журнал безопасности

Нас сейчас больше всего интересует журнал безопасности. Он обязательно содержит информацию о входе в систему всех пользователей. Найдите запись о вашем последнем выходе из системы. А все записи журнала, которые будут расположены между вашим последним выходом и сегодняшним входом — это следы деятельности другого лица.

Журнал приложений

Теперь перейдем к журналу приложений. Он тоже очень важен для нашего маленького расследования. Этот журнал содержит информацию о приложениях, которые были запущены в наше отсутствие. Для подтверждения факта, что не вы эти приложения запускали, ориентируйтесь на время события.

Итак, анализируя два этих журнала, вы точно определите не только сам факт входа под вашим именем в ваше отсутствие, но и определите приложения, которые запускал этот неизвестный.

[Бонус] Ставим ловушку для неизвестного

Вот теперь, имея все доказательства на руках, мы можем предположить, кто использует наш компьютер и поговорить с ним. Но еще лучше взять его с поличным! Для этого можно использовать штатный Планировщик задач Windows.

При создании задачи укажите событие (триггер) «Вход в Windows».

Теперь продумайте, что вы бы хотели сделать, когда без вас кто-то войдет в компьютер. Самый простой вариант — послать самому себе письмо, например, на коммуникатор.

Хотя лично мне больше понравился бы вариант «Запустить программу». А потом бы я скачал какую-нибудь программу-розыгрыш из тех, что переворачивают экран или вызывают его «осыпание». Представьте себе лицо неизвестного в этот момент!