Jak sprawdzić dzisiejszą aktywność na komputerze?

Pytanie

chcę sprawdzić co otierałem na komputerze dzisiaj

Odpowiedź Sztucznej Inteligencji

Bezpośrednia odpowiedź na pytanie

• Najszybciej: naciśnij Win + R → wpisz shell:recent → Enter. Otworzy się folder z listą wszystkich plików i folderów uruchamianych dzisiaj (i wcześniej) – posortuj kolumnę „Data modyfikacji”.
• Jeśli chcesz pełny raport (pliki, programy, strony, logowania): pobierz darmowe narzędzie NirSoft LastActivityView i posortuj kolumnę „Action Time” po dacie dzisiejszej.
• Historię stron www sprawdzisz w przeglądarce (Ctrl + H); listę procesów startujących dziś – w Podglądzie zdarzeń (eventvwr → filtr ID 4688, „Dzisiaj”).

Szczegółowa analiza problemu

1. Klasy aktywności
   • Pliki/fold­ery
   • Aplikacje/procesy
   • Strony internetowe
   • Zdarzenia systemowe (logowanie, uśpienie, instalacje, aktualizacje)

2. Źródła danych w systemie Windows 10/11
   a) Folder „Recent”
   Win + R → shell:recent. Pliki .lnk reprezentują każdy element otwarty przez Explorera lub z poziomu aplikacji, z dokładnym czasem utworzenia skrótu.
   b) „Szybki dostęp” w Eksploratorze
   Win + E → pozycja Quick Access. Sekcja „Ostatnie pliki” (maks. 20) pozwala błyskawicznie zidentyfikować bieżący dzień.
   c) Jump Lists (menu kontekstowe na ikonie programu)
   Dodatkowa historia przechowywana w …\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations (zakodowana; czytelna w LastActivityView).
   d) Podgląd zdarzeń
   Win + R → eventvwr.msc → Dzienniki Windows → Zabezpieczenia → filtruj ID 4688 (Nowy proces). Ustaw zakres czasu na „Dzisiaj”. Zobaczysz pełną ścieżkę każdego EXE uruchomionego dziś.
   e) Historia przeglądarki
   • Chrome/Edge/Firefox/Brave: Ctrl + H → sekcja „Dzisiaj”.
   • DNS cache (ipconfig /displaydns) – działa do restartu lub manualnego flushdns.
   f) Narzędzia zewnętrzne
   • NirSoft LastActivityView – scala źródła (Recent, Prefetch, Event Log, Registry, Jump Lists).
   • Windows Timeline (starsze wersje 10) – Win + Tab → Oś Czasu; w 11 zastąpiono „Sekwencją ostatnich aplikacji”.
   • Sysinternals Process Monitor (live-log, można zapisać filtr „Event Class = Process Start”, a potem przeanalizować dzisiejszy plik PML).

3. Praktyczna procedura (scenariusz „pewność 90 %”)

   1. Uruchom LastActivityView → Options → Advanced Filter → Data Range „Today”.
   2. Sprawdź folder shell:recent i Quick Access – to potwierdzi dokumenty.
   3. Dodatkowo przejrzyj Ctrl + H w używanej przeglądarce – zobaczysz strony spoza LastActivityView, jeśli były otwierane z trybu prywatnego incognito = brak wpisu.
   4. Jeżeli podejrzewasz uruchamianie aplikacji z przywilejami admina (które czasem nie zapisują skrótu w Recent), otwórz eventvwr i filtruj 4688.

4. macOS i Linux (skrótowo)
   • macOS: Finder → Recents (auto-Smart-Folder); Terminal: log show --predicate 'eventMessage contains "launchd"' --last 1d.
   • Linux (systemd): journalctl --since "today" _COMM=gnome-shell lub narzędzia typu Zeitgeist/ActivityTracker.

Aktualne informacje i trendy

• Od Windows 11 22H2 Microsoft wyłączył „Timeline” w chmurze – lokalna lista aktywności pozostaje, ale nie synchronizuje się z kontem MS.
• Narzędzia NirSoft są nadal rozwijane (ver. 1.42 z 2024-05 dodaje wsparcie dla Win 11 23H2).
• W firmowych środowiskach popularne stają się EDR-y (Defender for Endpoint, CrowdStrike), które logują aktywność w centralnym SIEM – użytkownik domowy ich nie zobaczy, ale administrator tak.

Wspierające wyjaśnienia i detale

• Dlaczego Recent działa: każda biblioteka shell32 podczas otwarcia pliku tworzy skrót .lnk w %APPDATA%\Microsoft\Windows\Recent.
• ID 4688 rejestrowany jest w kanale Security tylko, gdy polityka audytu „Process Creation” = Success. Domyślnie w Home ↗️OK, w Enterprise czasem wyłączone.
• LastActivityView parsuje Prefetch (C:\Windows\Prefetch\*.pf) – dzięki temu widać, nawet gdy program uruchomiono z CLI i nie zostawił skrótu.

Aspekty etyczne i prawne

• Zgodnie z RODO i polską Ustawą o ochronie danych osobowych monitorowanie cudzego konta wymaga podstawy prawnej (np. regulamin pracy).
• Jako właściciel komputera możesz analizować własne konto; analiza kont innych użytkowników musi być uzasadniona i zarejestrowana.
• W środowisku korporacyjnym audyt procesów podlega polityce bezpieczeństwa – ingerencja w logi może być karalna.

Praktyczne wskazówki

• Utwórz punkt przywracania lub kopię logów zanim zaczniesz eksperymentować – niektóre narzędzia (CCleaner) przy czyszczeniu usuwają Recent/Prefetch.
• Jeśli chcesz, by system NIE rejestrował aktywności, wyłącz w Ustawienia → Prywatność → Historia aktywności; usuń zawartość Recent i Prefetch.
• Do stałego monitoringu użyj open-source ActivityWatch – loguje w JSON, łatwo przeszukać.

Ewentualne zastrzeżenia lub uwagi dodatkowe

• Przeglądanie w trybie InPrivate/Incognito i uruchamianie przenośnych aplikacji z pendrive’a często nie zostawia śladów w Recent ani Prefetch.
• Po restartach pamięć DNS jest czyszczona – dane z ipconfig /displaydns są nietrwałe.
• Event Log można wyczyścić skryptem PowerShell; brak wpisów nie zawsze oznacza brak aktywności.

Sugestie dalszych badań

• Analiza artefaktów forensycznych: AmCache.hve, SRUM, SQLite-databases Chrome (History, Cookies).
• Przetestuj Sysmon (Microsoft Sysinternals) z configiem SwiftOnSecurity – tworzy bardziej szczegółowe logi niż natywny 4688.
• Sprawdź projekt Velociraptor (open-source DFIR) – pozwala zbierać i kwerendować artefakty lokalnie.

Krótkie podsumowanie

1. Folder shell:recent i Quick Access pokażą szybki podgląd dzisiejszych plików.
2. NirSoft LastActivityView scala większość śladów i jest najwygodniejszy dla użytkownika domowego.
3. Podgląd zdarzeń (ID 4688) gwarantuje kompletność listy procesów, o ile włączony jest audyt.
4. Historia przeglądarki (Ctrl + H) uzupełnia dane o odwiedzane strony.

Skorzystaj z kombinacji tych narzędzi, aby otrzymać najpełniejszy obraz tego, co dziś otwierałeś na komputerze.