No Windows 10, depois de usar o seguinte comando para ativar Security System Extension:
auditpol /set /subcategory:"Security System Extension" /success:enable /failure:disable
Sempre que um novo serviço é adicionado, o sistema gera o Event ID 4697, indicando "Um serviço foi instalado no sistema". Este evento é particularmente útil porque inclui o ID do processo do cliente que iniciou a criação do serviço.
Como posso ativar o Event ID 4697 no Windows 7?