از آن جایی که این Event به صورت پیش فرض روی سرور ها فعال است، برای این که بتوانیم این موضوع را در ویندوز کلاینت ها نیز مشاهده کنیم از طریق مسیر زیر همانطور که در شکل نیز نشان داده شده است، Audit Process Creation رافعال کنیم.
برای این منظور کلمه Edit Group Policy را در start ویندوز جستجو می کنیم.
برای این منظور پس از باز کردن Local Group Policy Editor به مسیر زیر بروید.
Computer Configuration > WindowsSetting > Security Setting > Advanced Audit Policy Configurtion > System Audit Policies - Local Group Policy > Detailed Tracking
سپس روی قسمت Audit Process Termination دو بار کلیک می کنیم و مانند شکل زیر این قسمت را فعال می کنیم.
پس از انجام این تنظیم می توان پیام a new process has been created را در corelog مشاهده کرد.
