Вы должны быть готовы заранее. Регистрация всех приложений может генерировать много данных журнала, поэтому уровень ведения журнала не является значением по умолчанию. Вот хороший ответ на эту тему в другом. Если ответ @WernerHenze работает для вас, вы должны проголосовать за него.
Вы не сможете проверить, что бежало, но вы можете подготовиться к следующему разу. Если вы откроете secpol.msc, вы можете перейти к локальной политике / политике аудита. Активируйте Успех (и, возможно, также Отказ) при отслеживании процесса аудита, и вы будете получать запись журнала событий в журнале событий безопасности каждый раз, когда процесс начинается или заканчивается. К сожалению, вы увидите запущенный процесс, но не командную строку, с которой он был запущен.
Если вы активируете аудит, может появиться много журналов, поэтому вы должны отрегулировать размер журнала событий безопасности.
Вы можете получить доступ к журналам с помощью eventvwr.msc, протоколов Windows, Security.