En el laboratorio de hoy vamos a crear un listado detallado, de todos los procesos que ha ejecutado un usuario especifico y lo generaremos en el interior de un archivo de texto.
En nuestros anteriores laboratorios, vimos como crear un listado detallado de todos los procesos que tenemos en ejecución y como crearlo en el interior de un archivo CSV para poderlo abrir con Microsoft Excel o un archivo de texto en formato lista.
También, podéis acceder al canal de YouTube de Pantallazos.es, donde encontrareis un vídeo tutorial en veremos como crear un listado detallado, de todos los procesos que ha ejecutado un usuario especifico usando la consola de comandos de Microsoft Windows.
Podéis acceder y suscribiros al canal de Youtube de Pantallazos.es en el enlace que mostramos a continuación:
Para conseguir listar todos los procesos que ha ejecutado un usuario especifico, usaremos el comando de la consola de comandos de Windows llamado TASKLIST.
El comando TASKLIST nos permite generar una lista de todos procesos que se están ejecutando en nuestro equipo local o en uno remoto.
En anteriores laboratorios, ya hemos visto ejemplos de la potencia de este comando. Podéis acceder a nuestros anteriores artículos usando los enlaces que encontrareis a continuación.
C:\>TASKLIST /?
TASKLIST [/S sistema [/U usuario [/P [contraseña]]]]
[/M [módulo] | /SVC | /V] [/FI filtro] [/FO formato] [/NH]
Descripción:
Esta herramienta muestra una lista de procesos que se están ejecutando
en un equipo local o remoto.
Lista de parámetros:
/S sistema Especifica el sistema remoto al que conectarse.
/U [dominio\]usuario Especifica el contexto de usuario en el que el comando debe ejecutarse.
/P [contraseña] Especifica la contraseña para el contexto de usuario dado. Pide entrada si se omite.
/M [module] Enumera todas las tareas que actualmente usan el nombre exe/dll dado. Si el nombre del módulo no se especifica, se muestran todos los módulos cargados.
/SVC Muestra los servicios hospedados en cada proceso.
/V Muestra información detallada de tareas.
/FI filtro Muestra un conjunto de tareas que coinciden con el criterio especificado por el filtro.
/FO formato Especifica el formato de salida.
Valores válidos: "TABLE", "LIST", "CSV".
/NH Especifica que el "encabezado de columna" no no debe mostrarse en la salida.
Válido sólo para formatos "TABLE" y "CSV".
/? Muestra este mensaje de ayuda.
Filtros:
Nombre filtro Operadores válidos Valores válidos
------------- ------------------ --------------------------
STATUS eq, ne RUNNING |
NOT RESPONDING | UNKNOWN
IMAGENAME eq, ne Nombre de imagen
PID eq, ne, gt, lt, ge, le Valor del PID
SESSION eq, ne, gt, lt, ge, le Número de sesión
SESSIONNAME eq, ne Nombre de sesión
CPUTIME eq, ne, gt, lt, ge, le Tiempo de la CPU en el formato
hh:mm:ss.
hh - número de horas,
mm - minutos, ss - segundos
MEMUSAGE eq, ne, gt, lt, ge, le Uso de memoria en KB
USERNAME eq, ne Nombre de usuario en formato
[dominio\]usuario
SERVICES eq, ne Nombre de servicio
WINDOWTITLE eq, ne Título de ventana
MODULES eq, ne Nombre DLL
La construcción final que vamos a usar en nuestro laboratorio para conseguir un listado detallado de todos los procesos de sistema que tenemos en ejecución es el que mostramos por pantalla.
TASKLIST /FI "USERNAME NE XAVIC" /fi "STATUS EQ running"
Escribiremos TASKLIST y seguidamente incluiremos el modificador /FI, este modificador es la abreviatura de filtro y mostrará el conjunto de procesos que coincidan con el criterio especificado por el filtro.
El primer filtro que agregaremos a nuestra construcción será el usuario que queremos mostrar, el nombre del filtro será USERNAME a continuación escribiremos NE para que el nombre de usuario filtrado debe contener el grupo de caracteres que componen el nombre del usuario, seguidamente introduciremos un segundo filtro a nuestra sentencia, este será STATUS y seguidamente escribiremos EQ para que el listado muestre todos los procesos que su estado sea running.
Si ejecutamos la sentencia, esta nos listará por pantalla todos los procesos que ha ejecutado un usuario especifico.
Para crear un listado en el interior de un archivo de texto deberemos incluir a nuestra anterior sentencia el modificador /FO para especificare el formato de salida que deseamos, en nuestro laboratorio usaremos el formato tabla, a continuación escribiremos el símbolo de mayor que y seguidamente introduciremos la ruta donde queremos almacenar nuestro nuevo archivo de texto.
En nuestro laboratorio usaremos la variable de entorno llamada %USERPROFILE% para guardar los nuevos datos en la carpeta del escritorio del perfil de un usuario actual.
La carpeta personal del perfil de un usuario de Windows variará su nombre, dependiendo del nombre de cada usuario. Por consiguiente, si queremos guardar nuestro archivo de texto en alguna de las carpetas que se encuentran en el interior de la carpeta del perfil del usuario actual, solo podremos hacerlo utilizando la variable de entorno llamada %USERPROFILE% o escribiendo la ruta entera manualmente.
En anteriores laboratorios hemos trabajado con las variables de entorno de Microsoft Windows, si queréis más información podéis acceder al enlace que mostramos a continuación.
La construcción final quedará como la teneis a continuación
TASKLIST /FI "USERNAME NE XAVIC" /fi "STATUS EQ running" /FO TABLE>%USERPROFILE%/Desktop/TASKLIST.txt
Si abrimos el archivo de texto resultante, encontraremos nuestro listado de tareas que ha ejecutado un usuario especifico.