Event ID 4688: A new process has been created (Security)
Was diese Event ID tatsächlich auf der Festplatte aufzeichnet, welche EventData-Felder zuerst zu lesen sind und wo sie in einem DFIR-Triage-Workflow steht.
- Kanal
- Security
- Anbieter
- Windows\Security
- Triage-Notizen
- Base-OS process creation. Command-line audit must be enabled to see arguments.