一、通过任务管理器查看进程与资源使用

1. 按下 Ctrl + Alt + Delete打开任务管理器；

2. 切换到 进程标签页，查看运行中的程序名称、CPU和内存占用情况；

3. 结合 启动项功能，可追溯开机后自动运行的程序。

二、通过事件查看器分析系统日志

1. 按下 Win + R，输入 `eventvwr.msc` 打开事件查看器；

2. 在左侧导航栏选择 Windows 日志→ 系统，查看开机/关机记录（ID:6005/6006）；

3. 通过 筛选当前日志功能，可查找特定事件（如程序崩溃、权限错误等）。

三、通过文件属性追踪文件访问记录

1. 在文件或文件夹属性的 安全选项卡中，启用 审核功能；

2. 查看审核日志，确认哪些用户或程序访问过特定文件。

四、使用系统内置的“Recent”命令

1. 按下 Win + R，输入 `recent` 回车，查看最近访问的文件、文件夹和网页；

2. 该方法仅显示系统级文件访问记录，不包含程序运行日志。

五、检查计划任务与脚本

1. 搜索 `SchedLgU.txt` 文件，查看系统计划任务记录；

2. 通过任务管理器的 启动选项卡，检查开机自启程序。

六、浏览器历史记录与缓存分析

1. 在浏览器中按 Ctrl + H打开历史记录，查看网页访问轨迹；

2. 清除浏览器缓存后重新访问特定页面，可观察缓存重建情况。

七、使用第三方监控工具（可选）

Windows：如 Process Monitor、Process Hacker 等，可实时监控进程与文件操作；

Mac：使用 Activity Monitor 或第三方工具；

Linux：通过 `history`、`last` 等命令查看用户操作记录。

注意事项：

日志文件（如 `EventLog.txt`）存储在 `C:\Windows\System32\Logs`，需管理员权限查看；

清除日志记录可通过事件查看器的 清除日志功能实现；

第三方工具需谨慎选择，避免隐私泄露风险。