Application Control
監査
このセクションの内容
監査
Application Control 監査機能では、監査情報のキャプチャ ルールを定義したり、イベントを発生させたりすることができ、ログに取り込むイベントを指定するためのフィルタが含まれます。監査には、[管理] リボンからアクセスできます。
一般監査動作の制御
次のオプションを使用して、一般的な監査動作を制御し、発生するイベントを選択します。
- イベントをアプリケーション イベント ログに送信する: イベントをアプリケーション イベント ログに送信するかどうかを選択します。
- イベントを AppSense イベント ログに送信する: イベントを AppSense イベント ログに送信するかどうかを選択します。イベントはアプリケーション イベント ログまたは AppSense イベント ログにのみ送信できます。
- イベントを匿名にする: イベントが匿名かどうかを指定します。[はい] の場合、コンピュータ名とユーザ名がすべてのイベントから省略されます。匿名ログはファイル パスを検索し、ディレクトリがユーザ名と一致するインスタンスを見つけ、そのディレクトリ名を文字列で置換します
- イベントをローカル ファイル ログに送信する: イベントをローカル ファイル ログに送信するかどうかを選択します。[はい] の場合、イベントはテキストボックスで指定されたローカル ログ ファイルに送信されます。既定の場所:%SYSTEMDRIVE%\AppSenseLogs\Auditing\ApplicationManagerEvents_%COMPUTERNAME%
- ローカル ファイル ログ形式: イベント ログが XML 形式で保存されるか、CSV 形式で保存されるかどうかを指定します。
エンタープライズ インストールでは、配布エージェント (CCA) 経由でイベントを Management Center に転送できます。監査でこの方法を使用するときには、イベント データ保存とフィルタリングが Management Center コンソールから構成されます。
詳細については、 「Management Center ヘルプ」をご参照ください。
発生するイベントを選択
ダイアログのこのセクションには、すべての Application Control イベントが一覧表示されます。選択した監査動作オプションに従い、ローカルで発生させるイベントの [ローカル ログ] チェックボックスを選択します。
使用可能なイベント
| イベント ID | イベント名 | イベント説明 |
|---|---|---|
| 9000 | 拒否された実行 | 拒否された実行要求。 |
| 9001 | 許可された実行 | 許可された実行要求。 アプリケーションに対する1回の要求では、Windows が実行要求に対応する方法により、複数の9001イベントが生成されることがあります。このため、イベント9015を使用して、ユーザがアプリケーションを実行した回数を正確に監査することをお勧めします。 |
| 9002 | 変更された所有者の上書き | 許可された実行ファイルの上書き。 |
| 9003 | 変更された所有者名の変更 | 拒否された実行ファイル名の変更。 |
| 9004 | アプリケーション制限の拒否 | アプリケーション制限の拒否。 |
| 9005 | 時刻制限の拒否 | 時刻制限の拒否。 |
| 9006 | 自己承認 | ユーザによる自己承認の決定。 |
| 9007 | 自己承認の許可 | 自己承認の実行要求。 |
| 9009 | スクリプト化されたルール タイムアウト | スクリプト実行がタイムアウトしました。 |
| 9010 | スクリプト化されたルール失敗 | スクリプトを完了できませんでした。 このイベントは VB Script 機能でのみ発生します。 |
| 9011 | スクリプト化されたルール成功 | スクリプトが正常に終了しました。 |
| 9012 | 信頼できるベンダ拒否 | デジタル証明書は信頼できるベンダ確認で失敗しました。 |
| 9013 | ネットワーク項目拒否 | 拒否されたネットワーク項目要求。 |
| 9014 | ネットワーク項目許可 | 許可されたネットワーク項目要求。 |
| 9015 | アプリケーション開始 | 許可されたアプリケーション実行が開始しました。 アプリケーションに対する1回の要求では、Windows が実行要求に対応する方法により、複数の9001イベントが生成されることがあります。このため、イベント9015を使用して、ユーザがアプリケーションを実行した回数を正確に監査することをお勧めします。 |
| 9016 | 所有権を変更できません | ファイルの所有権を変更できませんでした。 |
| 9017 | アプリケーションの終了 | 拒否されたアプリケーションが Application Control によって終了しました。 |
| 9018 | アプリケーション ユーザ権限変更 | アプリケーションのユーザ権限が変更されました。 |
| 9019 | Web インストール許可 | 許可された Web インストール要求。 |
| 9020 | 制限された Web インストール | 制限された Web インストール要求。 |
| 9021 | 制限された Web インストール | Windowsが Web インストール要求を制限しました。 |
| 9022 | Web インストール失敗 | Web インストールを完了できませんでした。 |
| 9023 | 自己昇格許可 | 自己昇格要求。 |
| 9024 | URL リダイレクト | URL リダイレクトが発生しました。 |
| 9051 | ポリシー変更付与 | ポリシー変更要求が付与されました |
| 9052 | ポリシー変更無効な応答コード | ポリシー変更要求に対して無効な応答コードが入力されました |
| 9053 | ユーザ要求許可 | 許可されたポリシー変更アプリケーションが開始しました |
| 9054 | ユーザ要求昇格 | 昇格されたポリシー変更アプリケーションが開始しました |
| 9055 | サービス開始/停止 | サービスが開始または停止しました。 |
| 9056 | メタデータ一致がある信頼できないファイル | メタデータを照合するときに署名されたファイルの証明書を検証できませんでした |
| 9096 | 構成マージ成功 | 構成マージが正常に完了しました。 |
| 9097 | 構成マージ失敗 | 構成マージが失敗しました。 |
| 9098 | 構成マージ タイムアウト | 構成マージの想定されたファイルの待機がタイムアウトしました。 |
| 9099 | エージェントのライセンスがありません | Application Control のライセンスがありません。 |
アプリケーションに対する1回の要求では、Windows が実行要求に対応する方法により、複数の9001イベントが生成されることがあります。このため、イベント9015を使用して、ユーザがアプリケーションを実行した回数を正確に監査することをお勧めします。
9001、9007、9014、9015イベントは、エンドポイントで過剰なイベント データが生成される可能性があるため、既定では無効です。これらのイベントはトラブルシューティング目的でのみ、短期間のみ使用することをお勧めします。
イベント フィルタリング
イベント フィルタリングでは、監査するファイル タイプをフィルタリングできます。これは、特に、大量のイベントを選択するときに役立ちます。イベント フィルタ テーブルにアクセスするには、[監査] ダイアログの [イベント フィルタリング] をクリックします。[イベント フィルタリングを有効にする] は既定でオンであり、推奨ファイル フィルタと連動します。必要に応じて設定を更新し、各リストのイベントを監査するファイル タイプを選択します。[追加] をクリックして、必要なイベント タイプの新しいファイル タイプを指定します。
システム イベント
次に、構成可能ではないシステム イベントを示します。
| イベント ID | イベント名 | イベント説明 |
|---|---|---|
| 8000 | サービス開始 | Application Control エージェント:サービスが開始しました。 |
| 8001 | サービス停止 | Application Control エージェント:サービスが停止しました。 |
| 8095 | 構成が見つかりません | Application Control は有効な構成を検出できません。 |
| 8099 | 無効なライセンス | Application Control ソフトウェアのライセンスがありません。 |
この記事は役に立ちましたか?
このトピックに関する評価:
正確ではない
不完全である
期待した内容ではない
その他
Copyright © 2019, Ivanti. All rights reserved.