イベントビューアだけの設定では、IEの起動状況を確認することは出来ないと思います。
理由は、IEが起動・終了したことをイベントビューアが認識出来ないからです。
もし、制限を「イベントビューアだけの設定」では無く、
「追加のソフトウェアを入れずにWindowsのみの機能で実現したい」とするならば
以下の方法が考えられます。ただし、留意点が有り完全ではありません。
1.コントロールパネルの管理ツールのローカルセキュリティポリシーを
起動して以下のプロパティの値の設定を変更して下さい。
セキュリティの設定
- ローカルポリシー
- 監査ポリシー
- プロセス追跡の監査
プロパティ値「次の場合に監査するの値」を、「成功(S)」にチェックを入れて下さい。
この状態で、プロセスの起動終了がイベントビューアのセキュリティに記録されます。
2.イベントビューアを開き、WindowsログのセキュリティからIEの起動・終了(※)のイベントを抽出します。
(※ イベントビューア上では、プロセス作成・プロセス終了に該当します。)
2.1 右ペインのセキュリティの上で右クリックをして、「現在のログをフィルター」をクリックして下さい。
2.2 タブを「XML」に変更し、画面下部の「手動でクエリを編集する(Q)」のチェックを入れて下さい。
2.3 画面真ん中のエリアが入力可能になりますので、以下のクエリをコピペしてください。
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[EventData[Data[@Name="NewProcessName"]="C:\Program Files\Internet Explorer\iexplore.exe"]]</Select>
<Select Path="Security">*[EventData[Data[@Name="NewProcessName"]="C:\Program Files (x86)\Internet Explorer\iexplore.exe"]]</Select>
<Select Path="Security">*[EventData[Data[@Name="ProcessName"]="C:\Program Files\Internet Explorer\iexplore.exe"]]</Select>
<Select Path="Security">*[EventData[Data[@Name="ProcessName"]="C:\Program Files (x86)\Internet Explorer\iexplore.exe"]]</Select>
</Query>
</QueryList>
※IEのEXEのパスが異なる場合は変更してください。
これで、IEの起動と終了のイベントのみが表示されている状態となります。
必要であれば、カスタムビューを作成してください。クエリは上記の物が使えます。
[留意点]
IEを起動し、別のIEを別途起動すると記録されるプロセスの作成、終了イベントの
整合性のとれない状態で記録されます。
こちらが私の環境のみで発生するのか、切り分けておりません。
独特な記録のされかたなので、パターンとして識別できると思います。
