Как я могу найти журнал активности net.exe в Windows Server 2019?

У меня Windows Server 2019. Это сервер базы данных (MSSQL Server) в среде интрасети. Я отслеживаю его процесс и обнаружил, что иногда описанный ниже процесс запускается автоматически без какой-либо причины.

"C:\Windows\system32\cmd.exe" /c "сетевые администраторы локальной группы" "сетевые администраторы локальной группы"

Я проверяю список пользователей и список групп и не вижу новых пользователей. Я не знаю, почему net.exe запускается с этой командой для создания новых учетных записей локального администратора. как я могу проверить его основную причину и есть ли какие-либо решения для поиска журнала активности net.exe?

Проверить идентификатор события 4688 который регистрируется Windows при каждом запуске процесса. Ссылка также объясняет, как настроить аудит в вашей системе, чтобы убедиться, что это событие действительно регистрируется.

Это определенно немного подозрительно, но начните с просмотра события, которое показывает вам такие вещи, как родительский PID, чтобы вы могли видеть, какой процесс фактически запустил этот процесс.