Windows运行记录怎么查看

要查看Windows系统中的运行记录，需要根据具体需求区分不同层面的记录：用户近期运行的程序列表、“运行”对话框历史以及系统事件日志中的进程启动记录。以下提供专业且全面的查询方法。

一、查看“运行”对话框的历史记录
Windows的“运行”对话框（Win+R）会保存用户输入过的命令或程序路径。这些记录存储在注册表中。可通过注册表编辑器查看：按Win+R输入regedit，导航至HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU。右侧列表中的MRUList键值按顺序记录最近运行的项目，其他以字母命名的键值（如a、b）则存储具体命令内容。此记录仅针对当前用户，且可通过组策略或清理工具清除。

二、查看最近运行的程序列表（开始菜单与任务栏）
1. 开始菜单的“最近添加”：在Windows 10/11中，点击开始菜单，右侧或底部会显示“最常用”或“最近添加”的程序列表。该列表源自%AppData%\Microsoft\Windows\Recent文件夹（对应快捷方式），以及注册表HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs下的文档历史。
2. 任务栏跳转列表：右键点击任务栏上的程序图标，弹出的“跳转列表”会显示该程序最近打开的文件或任务。这些记录存储在%AppData%\Microsoft\Windows\Recent\AutomaticDestinations文件夹中的.automaticDestinations-ms文件内。

三、通过事件查看器查看进程启动记录（系统级日志）
Windows会通过安全审计日志和应用程序和服务日志记录进程创建事件，但默认未启用所有进程的审计。若要查看详细的进程启动历史：
1. 按Win+R输入eventvwr.msc打开事件查看器。
2. 展开Windows日志，选择安全。在右侧筛选当前日志，事件ID 4688（进程创建）会记录新进程的启动时间、用户账户、进程路径等信息。若未收到该事件，需通过本地安全策略或组策略启用“审核进程创建”策略（路径：计算机配置→Windows设置→安全设置→本地策略→审核策略→审核进程跟踪）。
3. 此外，应用程序和服务日志→Microsoft→Windows→TaskScheduler→Operational中可查看计划任务的运行记录；PowerShell日志（Microsoft-Windows-PowerShell/Operational）则记录PowerShell命令的执行历史。

四、使用PowerShell或命令行快速查询
1. 查询“运行”历史注册表：在PowerShell中执行以下命令可导出当前用户的运行记录：
Get-ItemProperty -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU" | Select-Object -ExpandProperty MRUListEx（需解析二进制值）或使用Get-ChildItem枚举键值。
2. 查询最近打开的文件：
Get-ChildItem "$env:APPDATA\Microsoft\Windows\Recent" -Name可列出Recent文件夹中的快捷方式名称。
3. 查询事件日志中的进程创建：
Get-WinEvent -FilterHashtable @{LogName='Security'; ID=4688} -MaxEvents 50 | Format-List TimeCreated, Message 可提取最近的进程启动记录。注意：这需要管理员权限且已启用审计。

五、第三方工具与系统内置的可靠性监视器
1. 可靠性监视器：在控制面板中搜索“可靠性历史记录”或运行perfmon /rel，可查看应用程序的崩溃、挂起及系统事件时间线，部分信息包含程序运行记录。
2. Process Monitor（Sysinternals工具）：可实时捕获所有进程、注册表、文件系统活动，但需提前运行才能记录，适用于高级排查场景。

注意事项：
- 上述方法中，注册表和Recent文件夹中的记录可以被用户手动清除（如使用cleanmgr或右键开始菜单“清除最近使用的文件列表”）。
- 事件查看器中的4688事件默认仅在启用审计策略后记录，且保存时间受日志大小限制（默认20MB，可调整）。
- 对于Windows 11，部分隐私设置中“最近打开的项目”可在“设置→个性化→开始”中关闭，该操作不会删除已存在的日志。