Ereignisanzeige
Die Ereignisanzeige ist ein leistungsstarkes Abfragetool, das mit Application Control 2021.1 eingeführt wurde. Es ermöglicht das Anzeigen, Gruppieren, Filtern und Durchsuchen von Ereignissen. Anhand der identifizierten Ereignissen lassen sich anschließend durch einfaches Ziehen oder Kopieren Konfigurationsregeln ändern oder erstellen. Abfragen über die Ereignisanzeige basieren auf Ereignistypen und können mühelos an bestimmte Zeiträume, Benutzer oder Computer angepasst werden. Die Ergebnisse können anschließend gefiltert oder durchsucht werden, um bestimmte Ereignisattribute zu identifizieren.
In diesem Abschnitt werden folgende Themen behandelt:
•Anpassen der angezeigten Abfrageergebnisse
•Speichern und Verwalten benutzerdefinierter Abfragen
•Offline-Ereignisanzeige (ab 2021.3)
•Ändern von Konfigurationsregeln
Der typische Anwendungsfall für die Ereignisanzeige ist die Überprüfung von Auditdaten auf iterativer Basis bei der Ersteinrichtung von Application Control und die entsprechende Änderung der Konfiguration. Sie bietet sich auch für bestimmte Abfragen an, etwa um auf Benutzeranfragen oder Betriebsanforderungen zu reagieren. Das regelmäßige Durchführen solcher Überprüfungen trägt dazu bei, dass Ihre Konfiguration jederzeit ihrem vorgesehenen Zweck entspricht und die Anforderungen der Benutzer im gesamten Unternehmen erfüllt.
Die folgenden Videos erläutern die Verwendung der Funktion "Ereignisanzeige":
Ereignisanzeige - Übersicht (6 Minuten)
Beispielhafter Anwendungsfall: Berechtigungsermittlung (4 Minuten)
Die Ereignisanzeige ist nur für Benutzer von Ivanti Management Center (MC) verfügbar, sprich wenn Management Center zum Erfassen von Ereignisdaten verwendet wird.
Benutzer müssen ein Upgrade auf die neueste Version von Application Control und MC durchführen, um sicherzustellen, dass die von der Ereignisanzeige ausgegebenen Daten den Erwartungen entsprechen.
Um offline Analysen und Abfragen durchzuführen, können Ergebnisse in einer Datei gespeichert und anschließend freigegeben, geöffnet und modifiziert werden. Dazu wird keine Datenbankverbindung benötigt (ab 2021.3).
Eine Liste der in MC erfassten Anwendungsereignis-IDs finden Sie unter Verfügbare Ereignisse (sowie im Protokollieren von Anforderungen im Helpdeskportal.
Erstellen einer Abfrage
1.Wählen Sie im Menüband der Konsole Verwalten > Ereignisanzeige aus.
Das Application Control-Dialogfeld "Ereignisse" wird angezeigt.
2.Klicken Sie auf Verbindungen verwalten.
Das Dialogfeld "Management Server-Datenbankverbindung" wird angezeigt.
Die Verbindungsdetails sind die gleichen, die von AppSense im Enterprise-Modus verwendet werden, um Konfigurationen über Ivanti Management Center zu speichern und bereitzustellen. Falls Sie bereits früher eine Datenbankverbindung gespeichert haben, werden deren Details im Rahmen Ihres Benutzerprofils gespeichert und hier aufgelistet. Informationen zum Hinzufügen oder Ändern einer MC-Verbindung finden Sie unter Erstellen einer MC-Verbindung: weiter unten.
3.Klicken Sie im Dialogfeld "Management Server auswählen" auf die gewünschte Verbindung oder wählen Sie die Verbindung aus und klicken Sie auf Verbinden.
Das Dialogfeld für die Benutzerverbindung wird aufgerufen.
4.Wählen Sie im Dialogfeld für die Benutzerverbindung die gewünschten Optionen aus:
Verbinden als
Aktueller Benutzer – Wählen Sie diese Option aus, um sich unter Verwendung Ihres aktuellen Benutzerprofils zu verbinden.
Alternativer Benutzer – Wählen Sie diese Option aus, um sich unter Verwendung eines anderen Benutzerprofils zu verbinden.
Beachten Sie, dass das ausgewählte Benutzerprofil über die erforderlichen Berechtigungen für den Datenbankzugriff verfügen muss, um Zugriff auf MC zu erhalten.
Anmeldedaten speichern – Aktivieren oder deaktivieren Sie dieses Kontrollkästchen je nach Bedarf.
Wenn Sie fertig sind, klicken Sie auf OK, um die Anmeldeinformationen für die Verbindung zu speichern.
Nachdem die Verbindungsdaten eingegeben wurden, wird das Dialogfeld für die Benutzerverbindung geschlossen und die Verbindung wird hergestellt.
5.Klicken Sie im Feld Ansicht auf das Pfeilsymbol und wählen Sie die gewünschte Ansicht aus der Liste aus.
Die Liste enthält vorkonfigurierte Ansichten sowie von Ihnen gespeicherte angepasste Ansichten.
Jede Ansicht stellt eine Kategorie von Ereignissen dar, die Sie abfragen können. Die Ergebnisse werden basierend auf den zugehörigen Ereignis-IDs ausgegeben.
Vorkonfigurierte Ansichten
Folgende Ansichten sind vorkonfiguriert:
•Verweigerte ausführbare Dateien
•Zulässige ausführbare Dateien
•Richtlinien-Änderungsanträge
•Richtlinienänderung – Ausführbare Dateien
•Berechtigungsverwaltung
•Berechtigungsermittlung
•Selbstautorisierung
•Self-Elevation
•UAC-Ersetzung
•Browser-Kontrolle
Die meisten Ansichten zeigen nur einzelne Ereignistypen an. Unter Berechtigungsverwaltung werden beispielsweise Ereignisse in Bezug auf die Änderung von Anwendungsrechten (ID 9018) angezeigt.Andere Ansichten zeigen eine ganze Reihe von Ereignistypen an. Unter Verweigerte ausführbare Dateien werden folgende Ereignisse angezeigt: Ausführung verweigert, Verweigert wegen Anwendungslimit, Verweigert wegen Zeitlimit, Beenden der Anwendung, Ausführung verweigert (unter Verwendung von vertrauenswürdigem Besitz) und Ausführung verweigert (unter Verwendung einer Regelrichtlinie).
Ereignistyp "Änderung" eingeschlossen
Bei Vorhandensein mehrerer Ereignis-IDs können Administratoren die Liste bei Bedarf modifizieren und reduzieren (Application Control 2021.3):
-
Wählen Sie Ändern aus. Das Dialogfeld "Ereignisauswahl" wird mit einer Liste der in der Ansicht enthaltenen Ereignisse angezeigt.
-
Aktivieren oder deaktivieren Sie je nach Bedarf das Kontrollkästchen für die einzelnen Ereignisse und klicken Sie anschließend auf OK.
Bestimmte Abfragen dürften große Datenmengen ausgeben. Ihre Ausführung kann daher viel Zeit in Anspruch nehmen, insbesondere, wenn Ihre Datenbank sehr umfangreich ist. Es wird dringend empfohlen, derartige Abfragen einzugrenzen, indem Sie Filter einsetzen wie Zeitraum, Bereitstellungsgruppe, Benutzer oder Computer, und möglichst die Option Nur Übersicht auswählen.
1.Klicken Sie im Feld Bereitstellungsgruppe auf das Pfeilsymbol und wählen Sie die gewünschte Gruppe aus der Liste aus. Die aufgeführten Bereitstellungsgruppen sind diejenigen, die beim Herstellen der Datenbankverbindung in MC definiert waren.Falls Sie in Ihrer aktuellen Sitzung Gruppen hinzugefügt oder gelöscht haben, stellen Sie eine Verbindung zu MC her, um die Liste der Gruppen zu aktualisieren.
2.Wählen Sie die erforderliche Bereitstellungsgruppe aus. Wählen Sie alternativ Folgendes aus:
•Alle - gibt Ereignisse aus allen definierten Bereitstellungsgruppen zurück.
•(Standard) - gibt die Ereignisse der Standard-Bereitstellungsgruppe gemäß Definition in MC zurück.
3.Klicken Sie im Feld Zeitraum auf das Pfeilsymbol und wählen Sie den gewünschten Zeitraum aus der Liste aus.
Wählen Sie alternativ <Benutzerdefinierten Zeitraum angeben> aus und geben Sie im Dialogfeld "Benutzerdefinierter Zeitraum" ein Anfangs- und ein Enddatum für den gewünschten Zeitraum an und klicken Sie anschließend auf OK.
4.Klicken Sie ggf. auf das Auslassungszeichen neben dem Feld Benutzer und wählen Sie den gewünschten Benutzer aus dem Dialogfeld "Benutzer auswählen" aus (bzw. geben Sie ihn an) und klicken Sie anschließend auf OK.
Nach Benutzern gefilterte Abfragen über die Ereignisanzeige ermöglichen Ihnen die Behebung gemeldeter Benutzerprobleme bzw. die Beantwortung von Benutzeranfragen. Durch Hinzufügen eines Zeitraums für die Abfrage erhalten Sie wesentlich spezifischere Ergebnisse.Die Abfrage gibt dann nur die Ereignisse zu dem betreffenden Benutzer im angefragten Zeitraum aus.
Geben Sie zum Festlegen eines bestimmten Benutzers dessen Domäne und Benutzername ein. Beispiel: ivanti/beispiel.benutzername
Benutzer auswählen
Das Feld "Benutzer" ist nicht verfügbar, wenn das Kontrollkästchen "Nur Übersicht" markiert ist.
•Klicken Sie im Dialogfeld "Benutzer auswählen" auf Erweitert ..., um das Dialogfeld zu erweitern:
•Geben Sie im Bereich "Allgemeine Abfragen" einen Suchbegriff in das Feld für den Namen oder die Beschreibung ein und klicken Sie anschließend auf Jetzt suchen.
Die mit den Kriterien übereinstimmenden Ergebnisse werden aufgeführt.
•Wählen Sie den gewünschten Benutzer aus und klicken Sie zum Bestätigen auf OK.
5.Klicken Sie ggf. auf das Auslassungszeichen neben dem Feld Computer und wählen Sie den gewünschten Computer aus. Alternativ können Sie direkt die Computerdomäne und den Computernamen eingeben.
Das Feld "Computer" ist nicht verfügbar, wenn das Kontrollkästchen "Nur Übersicht" markiert ist.
6.Sie können das Kontrollkästchen Nur Übersicht je nach Bedarf aktivieren oder deaktivieren.
Die Option "Nur Übersicht" ermöglicht das Gruppieren ähnlicher Ereignisse und zeigt die Gesamtzahl der Vorkommnisse aller identifizierten Instanzen an. Anhand dieser Daten kann ein Administrator sofort erkennen, welche Ereignisse wiederholt auftreten und/oder wie viele Benutzer davon betroffen sind. So wird beispielsweise identifiziert, welche Dateien am häufigsten blockiert oder welche Anwendungen zugelassen wurden. In der Ansicht "Nur Übersicht" werden benutzer- und computerspezifische Daten ignoriert. Es wird nur die Anzahl der Instanzen angegeben. Die Ansicht ist nur für Abfragen von zulässigen und verweigerten ausführbaren Dateien verfügbar.
Wenn die Option "Nur Übersicht" deaktiviert ist, gibt die Abfrage alle Ereignisdaten als einfaches Raster, ohne Gesamtwerte oder Benutzerzahl, aus.
7.Wählen Sie zum Ausführen der Abfrage Abfrage ausführen aus.
Die Ergebnisse werden aufgelistet und können überprüft werden. Wenn Sie Änderungen an der Ansicht oder den Filtern vornehmen, müssen Sie die Abfrage erneut ausführen, damit die Ergebnisse aktualisiert werden.
Umgebungsvariablen
Application Control normalisiert absolute Dateipfade für die in Ereignissen identifizierten ausführbaren Dateien. Für bestimmte benutzer- oder computerspezifische Werte werden die Standardumgebungsvariablen ersetzt. Wenn unterschiedliche Benutzer und/oder unterschiedliche Computer auf ein und dieselbe Datei zugreifen, zeigt der normalisierte Pfad dies als identisch an.
Beispiel:
|
Absolute Pfade |
Normalisierter Pfad |
|---|---|
|
C:\ProgramData D:\ProgramData |
%programdata% |
|
C:\users\test\desktop\test.exe |
%userprofile%\desktop\test.exe |
Erstellen einer MC-Verbindung:
•Klicken Sie im Dialogfeld "Management Server auswählen" auf das Symbol für Hinzufügen.
Das Dialogfeld "Server hinzufügen" wird angezeigt.
•Geben Sie in das Dialogfeld "Server hinzufügen" die Verbindungsdetails für MC ein:
Diese Details werden beim Konfigurieren von MC festgelegt. Lesen Sie den Abschnitt Wissenswertes über Management Center oder wenden Sie sich an Ihren Systemadministrator.
Anzeigename – Der Anzeigename bzw. die aussagekräftigere Bezeichnung für den erforderlichen Server.
Server auswählen
Protokoll – Wählen Sie http oder https aus.
Servername – Geben Sie den MC-Servernamen ein oder wählen Sie ihn aus.
Port – Der verwendete Port für Verbindungen zu MC.
Vollständige URL – Die vollständige URL für den MC-Server.
•Klicken Sie nach dem Eingeben der Details auf Hinzufügen.
Die Verbindung wird gespeichert und im Dialogfeld "Management Server auswählen" aufgeführt.
Anpassen der angezeigten Abfrageergebnisse
Nachdem Sie die Abfrage ausgeführt haben, können Sie die Anzeige der Ergebnisse anpassen, die angepasste Ansicht speichern und Ergebnisse exportieren.
Konfigurieren der Anzeige
Der Ergebnisabschnitt des Dialogfelds "Application Control-Ereignisse" ist konfigurierbar.
•Ergebnisse gruppieren– Beispiel Sie nach Spaltenüberschrift. Ziehen Sie eine Spaltenüberschrift in den oberen Bereich der Ergebnistabelle. Dadurch werden die ausgegebenen Ergebnisse entsprechend der ausgewählten Spaltenüberschrift gruppiert.
•Verwenden Sie die Suchergebnisse – Beispiel, um die Ereignisse auf diejenigen zu begrenzen, die Ihren Suchkriterien entsprechen. Die Suche bezieht sich auf alle Spalten. Als Kriterien können Sie beispielsweise Dateinamen oder Erweiterungen, Benutzernamen oder Computernamen verwenden. Wenn die Abfrage nach verweigerten ausführbaren Dateien mehrere Ereignis-IDs ergibt, können Sie beispielsweise nach einer bestimmten Ereignis-ID suchen.
•Wenden Sie Spalten filtern– Beispiel auf eine oder mehrere Spaltenüberschriften an. Dadurch können Sie Ereignisse, die Ihren Kriterien entsprechen, einschließen ODER ausschließen.
Klicken Sie auf Filtereditor anzeigen, um Filter zu den Abfrageergebnissen hinzuzufügen. Sie können auch den Mauszeiger über eine Spaltenüberschrift bewegen und dann auf das Filtersymbol klicken.
Das Dialogfeld "Filtereditor" wird aufgerufen. Darin können Sie die gewünschten Filterkriterien angeben.
Im Video Anwendungsfall Berechtigungsermittlung erfahren Sie, wie Sie einen Filter erstellen und anwenden.
•Klicken Sie auf Spalten wählen, um anzupassen, welche Spalten in den Abfrageergebnissen angezeigt werden.
•Ordnen Sie die Spalten neu an, indem Sie auf die betreffende Spaltenüberschrift klicken und sie an eine neue Stelle ziehen.
•Klicken Sie innerhalb einer Spaltenüberschrift, um die Spalte in aufsteigender oder absteigender Reihenfolge zu sortieren.
Ergebnisse gruppieren– Beispiel
Die Überschrift der Ergebnistabelle enthält folgenden Text: Spaltenüberschrift hierher ziehen, um nach dieser Spalte zu gruppieren.
1.Wählen Sie zum Gruppieren Ihrer Abfrageergebnisse die gewünschte Spaltenüberschrift aus und ziehen Sie sie in die Überschriftszeile im Dialogfeld.
2.Die Ergebnisse werden entsprechend der angewendeten Spaltenüberschrift gruppiert.
Im unten dargestellten Beispiel wurden die Ergebnisse nach Unternehmensname gruppiert.
3.Bei Bedarf kann die Gruppierung weiter verfeinert werden, um eine strukturierte Ergebnisliste zu erhalten.
Die Gruppierungsstruktur ist in der Tabellenüberschrift angegeben.
Aufheben der Gruppierung
•Um eine Gruppierung zu entfernen, wählen Sie sie in der Tabellenüberschriftszeile aus und legen Sie Ihre Auswahl an der gewünschten Stelle ab:
•Verschieben Sie die Auswahl in eine Spaltenüberschrift, um die Gruppierung aufzuheben und die Spalte bei den ausgegebenen Ergebnissen beizubehalten.
•Verschieben Sie die Auswahl an eine Stelle außerhalb des Dialogfelds "Ereignisanzeige", um die Gruppierung aufzuheben und die Spalte aus den Abfrageergebnissen zu entfernen.
Falls Sie die Spaltenüberschrift versehentlich entfernt haben, müssen Sie die Abfrage erneut ausführen.
Suchergebnisse – Beispiel
Um eine Suche zu starten, geben Sie den gesuchten Text in die Suchleiste ein und klicken Sie auf Suchen. Die Ereignisse, die den Suchkriterien entsprechen, werden angezeigt, alle anderen Ereignisse sind ausgeblendet.
Sollte das Suchfeld nicht sichtbar sein, klicken Sie mit der rechten Maustaste in der Ergebnisansicht auf eine Spaltenüberschrift und wählen Sie aus dem Kontextmenü Suchfeld einblenden aus.
Tipps zum Verwenden der Suche in der Ereignisanzeige
•Das Suchtool funktioniert nur für die derzeit sichtbaren Informationen.
Klicken Sie mit der rechten Maustaste in eine Spaltenüberschrift, um diese für die Suche hinzuzufügen oder zu entfernen.
•Falls ein Filter angewendet wurde, werden nur Ergebnisse angezeigt, die den Suchkriterien und den Filterkriterien entsprechen.
•Es werden auch teilweise Übereinstimmungen angezeigt.
•Bei der Suche wird nicht zwischen Groß- und Kleinschreibung unterschieden.
•Die Verwendung von Platzhaltern wird nicht unterstützt.
•Klicken Sie auf Löschen, um die Suchkriterien zu löschen.
Spalten filtern– Beispiel
Klicken Sie auf Filtereditor anzeigen oder bewegen Sie den Mauszeiger über eine Spaltenüberschrift und klicken Sie anschließend auf das Filtersymbol. Klicken Sie alternativ mit der rechten Maustaste auf die gewünschte Spalte und wählen Sie aus dem Kontextmenü Filtereditor aus.
•Geben Sie in das Dialogfeld "Filtereditor" die gewünschten Filterkriterien ein.
Im dargestellten Beispiel wurde ein Filter erstellt, der nur Ergebnisse anzeigt, deren Pfade mit C:\users beginnen.
•Wenn Sie mit der Eingabe Ihrer Kriterien fertig sind, klicken Sie auf OK.
Klicken Sie alternativ auf Anwenden, um die Filterergebnisse anzuzeigen. Wenn Sie fortfahren möchten, klicken Sie auf OK.
•Der Filter wird auf die angezeigten Ergebnisse angewendet und die Kriterien werden angezeigt.
•Um den Filter zu entfernen, deaktivieren Sie das Kontrollkästchen für die jeweiligen Filterkriterien.
Speichern und Verwalten benutzerdefinierter Abfragen
Änderungen können als benutzerdefinierte Abfrage gespeichert werden. Auf diese Weise können Sie die die vorgenommenen Änderungen beibehalten und prüfen und die Abfrage bei Bedarf erneut ausführen. Gespeicherte benutzerdefinierte Abfragen können in der Liste der Ansichten ausgewählt werden (siehe Feld Ansicht).
•Klicken Sie auf Speichern, um Änderungen zu speichern, die Sie an einer benutzerdefinierten Abfrage vorgenommen haben.
•Klicken Sie auf Speichern unter, um Ihre aktuelle benutzerdefinierte Abfrage unter einem neuen Namen zu speichern. Sie müssen die Abfrage zuerst ausführen, damit die Option Speichern unter aktiviert wird.
•Klicken Sie auf Verwalten, um eine Liste aller benutzerdefinierten Abfragen anzuzeigen. Im Dialogfeld "Ansichten verwalten" können Sie eine Abfrage auswählen und sie umbenennen oder löschen.
Exportieren von Daten
Abfrageergebnisse können im CSV-Format exportiert werden.
Wählen Sie Daten exportieren und dann die gewünschte Option aus:
•Aktuelle Ansicht mit ausgewählten Spalten exportieren – Es wird nur die aktuelle angepasste Ansicht exportiert.
•Aktuelle Ansicht mit allen Spalten exportieren – Es werden alle Abfrageergebnisse exportiert.
Offline-Ereignisanzeige (ab 2021.3)
Abfrageergebnisse können in einer AC-Ereignisdatei (.acevents) gespeichert werden. Dort lassen sie sich offline anzeigen und bearbeiten. Die Datei kann freigegeben und die Daten können ohne erneute Abfrage und ohne Erfordernis einer Datenbankverbindung überprüft oder geändert werden.
Ereignisse speichern
So speichern Sie Ereignisse in einer AC-Ereignisdatei:
•Wählen Sie Ereignisse speichern aus.
•Navigieren Sie im Dialogfeld "Speichern unter" an den gewünschten Ordnerspeicherort, geben Sie einen Dateinamen ein und wählen Sie dann die Option Speichern aus.
Gespeicherte Ereignisse anzeigen
So können Sie eine AC-Ereignisdatei öffnen und anzeigen:
-
Wählen Sie im Dialogfeld "Application Control-Ereignisse" die Schaltfläche Gespeicherte Ereignisse öffnen aus.
-
Navigieren Sie im Dialogfeld "Öffnen" an den gewünschten Ordnerspeicherort, wählen Sie die erforderliche Datei und dann die Option Öffnen aus.
Die .acevents-Datei wird in einem neuen Dialogfeld angezeigt.
Bearbeiten gespeicherter Ereignisdaten
Daten können zum Modifizieren oder Erstellen von Konfigurationsregeln gefiltert, bearbeitet und verwendet werden.
Eine Beschreibung der verfügbaren Funktionalität finden Sie im nachfolgenden Abschnitt Ändern von Konfigurationsregeln.
Ändern von Konfigurationsregeln
Die Ereignisanzeige wird in einem separaten Fenster parallel zur Application Control-Konsole ausgeführt. Dadurch können Benutzer Elemente aus der Ereignisanzeige in die Konsole ziehen (bzw. kopieren und einfügen) und die erforderlichen Regeln direkt ändern oder erstellen.
Die aufgelisteten Ereignisse können gezogen und abgelegt bzw. kopiert und eingefügt werden. So lassen sich Regelelemente vom Typ Dateipfad, Dateiname, Ordner oder Dateihash für Folgendes erstellen:
•Regelsammlungen
•Regelsätze > Ausführbare Kontrolle > Zugelassen/Verweigert
•Regelsätze > Berechtigungsverwaltung > Anwendungen/Self-Elevation
Nachdem Sie die Abfrage ausgeführt und die Ergebnisse überprüft haben, gehen Sie folgendermaßen vor:
1.Öffnen Sie die Application Control-Konsole, erweitern Sie im Navigationsbereich den Eintrag Regeln und wählen Sie die gewünschte Konfigurationsregel aus.
2.Wählen Sie im Dialogfeld "Ereignisanzeige" das gewünschte Ereignis aus und kopieren oder ziehen Sie das Element in das Konfigurationsdialogfeld.
Bei Bedarf können Sie auch mehrere Ereignisse auswählen und zur Konfiguration hinzufügen.
3.Das Dialogfeld "Regelelementtyp auswählen" wird angezeigt.
Wählen Sie den gewünschten Regeltyp aus:
•Dateipfad – Kopiert den vollständigen Pfad der Datei aus der Ereignis-ID. Gilt für Dateiregeln.
•Dateiname – Kopiert den Namen der Datei aus der Ereignis-ID. Gilt für Dateiregeln.
•Ordner – Kopiert den Ordnernamen und den Pfad aus der Ereignis-ID. Gilt für Ordnerregeln.
•Dateihash – Kopiert den Dateihash aus der Ereignis-ID. Gilt für Signaturregeln.
4.Das Regelelement wird sofort zur Konfiguration hinzugefügt.
5.Wenn es sich bei dem Element um eine Datei oder einen Ordner handelt, können Sie die Eigenschaften und Metadaten anzeigen und/oder bearbeiten, um die Integrität sicherzustellen.
Doppelklicken Sie auf das neu hinzugefügte Element, um das Dialogfeld "Bearbeiten" aufzurufen, oder klicken Sie mit der rechten Maustaste auf das Element und wählen Sie Bearbeiten aus.
Metadaten sind standardmäßig nicht für Elemente aktiviert, die über die Ereignisanzeige hinzugefügt wurden. Klicken Sie im Dialogfeld "Bearbeiten" auf die Registerkarte "Metadaten" und markieren Sie die Kontrollkästchen für die erforderlichen Daten. Die relevanten Daten werden sofort angezeigt. Weitere Informationen finden Sie unter Metadaten.
Konfigurationen über die Ereignisanzeige ändern – Beispiele:
Hinzufügen eines zulässigen Elements
Angenommen, Sie haben über die Ereignisanzeige eine Datei identifiziert, die von vielen Benutzern zugelassen wurde, und möchten diese allen Benutzern zur Verfügung stellen:
1.Öffnen Sie die Application Control-Konsole und wählen Sie im Navigationsbereich "Konfiguration" die Option Jeder > Zulässige Elemente aus.
2.Wählen Sie im Dialogfeld "Ereignisanzeige" das gewünschte Ereignis aus und kopieren oder ziehen Sie das Element in das Konfigurationsdialogfeld.
3.Das Dialogfeld "Regelelementtyp auswählen" wird angezeigt.
In unserem Beispiel wählen wir Dateipfad.
4.Das Regelelement wird hinzugefügt.
Hinzufügen einer anwendungsspezifischen Benutzerberechtigung
Angenommen, Sie führen eine Abfrage über die Ereignisanzeige unter Verwendung der Ansicht Berechtigungsermittlung aus. Die Ergebnisse enthalten eine hohe Anzahl des Ereignisses Anwendung mit erhöhten Rechten gestartet (ID 9062) für eine bestimmte Microsoft-Anwendung und Sie beschließen, die Benutzerberechtigungen entsprechend zu ändern.
1.Öffnen Sie die Application Control-Konsole, wählen Sie im Navigationsbereich "Konfiguration" die Option Jeder > Benutzerrechte aus und zeigen Sie die Registerkarte "Anwendungen" an.
2.Wählen Sie im Dialogfeld "Ereignisanzeige" das gewünschte Ereignis aus und kopieren oder ziehen Sie das Element in die Registerkarte "Anwendungen" der Konfiguration.
3.Das Dialogfeld "Regelelementtyp auswählen" wird angezeigt.
In unserem Beispiel wählen wir Dateiname oder Ordnername, um eine Datei an einem bestimmten Speicherort anzugeben.
4.Das Regelelement wird hinzugefügt.
5.Doppelklicken Sie auf das Element. Klicken Sie im Dialogfeld "Bearbeiten" auf die Registerkarte "Metadaten".
6.Markieren Sie die Kontrollkästchen neben Produktname und Anbieter.
Die Werte für diese Felder werden sofort angezeigt.
7.Wenn die Felder für Produktname und Anbieter aktiviert sind, dürfen nur Anwendungen ausgeführt werden, deren Metadatenwerte übereinstimmen. Alle anderen Dateien, auch gleichnamige, werden blockiert.
Kontextmenü für Ergebnisse
Klicken Sie mit der rechten Maustaste in eine Spaltenüberschrift, um das Kontextmenü anzuzeigen. Das Menü enthält eine Reihe von zusätzlichen Aktionen.
Aktionen
•Aufsteigend sortieren: Sortiert die Daten in aufsteigender Reihenfolge.
•Absteigend sortieren: Sortiert die Daten in absteigender Reihenfolge.
•Sortierung löschen: Löscht die derzeit für eine Spalte festgelegten aufsteigenden oder absteigenden Sortierkriterien.
•Nach dieser Spalte gruppieren: Gruppiert die Liste anhand der Daten in der ausgewählten Spalte. Für jeden möglichen Spaltenwert wird eine erweiterbare Liste erstellt.
Wenn Sie diese Aktion für nachfolgende Spalten durchführen, werden die betreffenden Daten als verschachtelte Gruppen auf immer niedrigerer Ebene innerhalb der erweiterbaren Listen dargestellt.
Wenn Gruppierungsbereich einblenden aktiviert ist, werden Felder vom Typ "Gruppieren nach" direkt über den Spaltenüberschriften angezeigt.
Tipp: Um die Funktion Nach dieser Spalte gruppieren auszuschalten und zur ursprünglichen Ansicht zurückzukehren, aktivieren Sie die Option Gruppierungsbereich einblenden. Klicken Sie mit der rechten Maustaste in jedes der Felder vom Typ Gruppieren nach und wählen Sie Gruppierung aufheben aus. Klicken Sie anschließend mit der rechten Maustaste in die Spaltenüberschrift und wählen Sie Gruppierungsbereich ausblenden aus.
•Gruppierungsbereich einblenden/ausblenden: Blendet direkt über den Spaltenüberschriften einen Bereich ein oder aus, der Felder vom Typ "Gruppieren nach" enthält. Es wird ein Feld vom Typ "Gruppieren nach" für jede Spaltenüberschrift angezeigt, für die Nach dieser Spalte gruppieren derzeit aktiviert ist. Sie können Spaltenüberschriften auch in diesen Bereich hinein oder aus diesem Bereich heraus ziehen.
Die Tabelle wird entsprechend der Daten im Feld gruppiert. Wenn zwei oder mehr Felder vorhanden sind, wird die Gruppierung verschachtelt. Das Feld ganz links wird ganz oben angezeigt, das Feld rechts daneben auf zweiter Ebene usw.
•Spaltenauswahl anzeigen: Ermöglicht das Hinzufügen und Ausblenden von Informationen innerhalb des Rasters. Wenn Sie Spaltenauswahl anzeigen auswählen, wird das Dialogfeld Spaltenauswahl angezeigt. Mithilfe dieses Dialogfelds können Sie angeben, welche der verfügbaren Spalten im Raster angezeigt werden sollen. Wenn Sie auf einen Eintrag in der Liste klicken und diesen an eine andere Stelle im Dialogfeld ziehen, werden die Spalten im Raster dementsprechend neu angeordnet.
•Optimale Größe: Passt die Breite der ausgewählten Spalte so an, dass der Überschriftstext unter optimaler Nutzung des verfügbaren Platzes angezeigt wird.
•Optimale Größe (alle Spalten): Passt die Breite aller Spalten der Tabelle so an, dass der Überschriftstext unter optimaler Nutzung des verfügbaren Platzes angezeigt wird.
•Filtereditor: Im Dialogfeld Filtereditor werden die erweiterten Filter angezeigt, die derzeit in den Spaltenüberschriften aktiv sind. Mit dem Editor können Sie vorhandene Filterkriterien modifizieren oder neue Filterkriterien erstellen, indem Sie die verfügbaren Filterbedingungen und logischen Operatoren verwenden.