应用程序控件
正在审核
在此部分:
关于审计
应用程序控件 审计功能允许针对审计信息的捕获定义规则并引发事件,还包含一个筛选器,用于指定想要在日志中捕获的事件。可从“管理”功能区访问审计。
控制一般审计行为
使用以下选项控制一般审计行为并选择要引发的事件:
- 将事件发送到应用程序事件日志 - 选择是否将事件发送到应用程序事件日志。
- 将事件发送到 AppSense 事件日志 - 选择是否将事件发送到 AppSense 事件日志。只能将事件发送到应用程序事件日志或 AppSense 事件日志。
- 使事件匿名 - 指定事件是否为匿名。如果是,则所有事件中都将省略计算机名和用户名。匿名记录还会搜索文件路径,查找目录匹配用户名的任何实例并使用字符串替换目录名
- 将事件发送到本地文件日志 - 选择是否将事件发送到本地文件日志。如果为是,事件将被发送到文本框中指定的本地日志文件。默认位置为:%SYSTEMDRIVE%\AppSenseLogs\Auditing\ApplicationManagerEvents_%COMPUTERNAME%
- 本地文件日志格式 - 指定事件日志保存为 XML 格式或 CSV 格式。
在企业安装中,事件可以通过部署代理 (CCA) 转发到 管理中心。使用此方法进行审计时,通过 管理中心 控制台配置事件数据存储和筛选。
有关详细信息,请参阅 管理中心 帮助。
选择要提升的事件
对话框的此部分列出所有 应用程序控件 事件。根据选定的审计行为选项,为要本地提升的事件选择本地记录复选框。
可用事件
| 事件 ID | 事件名称 | 事件描述 |
|---|---|---|
| 9000 | 拒绝的执行 | 拒绝的执行请求。 |
| 9001 | 允许的执行 | 允许的执行请求。 由于 Windows 响应执行请求的方式,应用程序的单个请求可生成多个 9001 事件。因此,最好使用事件 9015 来准确地审核用户运行应用程序的次数。 |
| 9002 | 覆盖更改的所有者 | 覆盖允许的可执行文件。 |
| 9003 | 重命名更改的所有者 | 重命名拒绝的可执行文件。 |
| 9004 | 应用程序限制拒绝 | 应用程序限制拒绝。 |
| 9005 | 时间限制拒绝 | 时间限制拒绝。 |
| 9006 | 自授权 | 用户的自授权决定。 |
| 9007 | 自授权允许 | 自授权执行请求。 |
| 9009 | 脚本规则超时 | 脚本执行已超时。 |
| 9010 | 脚本规则失败 | 脚本无法完成。 仅为 VB 脚本失败引发此事件。 |
| 9011 | 脚本规则成功 | 脚本成功完成。 |
| 9012 | 可信供应商拒绝 | 数字证书未通过可信供应商检查。 |
| 9013 | 网络项目拒绝 | 拒绝的网络项目请求。 |
| 9014 | 允许的网络活动 | 允许的网络项目请求。 |
| 9015 | 应用程序已启动 | 允许的应用程序已开始运行。 由于 Windows 响应执行请求的方式,应用程序的单个请求可生成多个 9001 事件。因此,最好使用事件 9015 来准确地审核用户运行应用程序的次数。 |
| 9016 | 无法更改所有权 | 无法更改文件的所有权。 |
| 9017 | 应用程序终止 | 拒绝的应用程序已被 应用程序控件 终止。 |
| 9018 | 应用程序用户权限已更改 | 应用程序的用户权限已更改。 |
| 9019 | Web 安装允许 | 允许的 Web 安装请求。 |
| 9020 | Web 安装受限制 | 受限制的 Web 安装请求。 |
| 9021 | Web 安装受限制 | Windows 受限制的 Web 安装请求。 |
| 9022 | Web 安装失败 | Web 安装无法完成。 |
| 9023 | 允许的自行提升 | 自行提升请求。 |
| 9024 | URL 重定向 | URL 重定向已发生。 |
| 9051 | 策略更改已授予 | 已授予策略更改请求 |
| 9052 | 策略更改无效响应代码 | 为策略更改请求输入了无效的响应代码 |
| 9053 | 用户请求的允许 | 允许的策略更改应用程序已启动 |
| 9054 | 用户请求的提升 | 提升的策略更改应用程序已启动 |
| 9055 | 服务启动/停止 | 服务已启动或停止。 |
| 9056 | 具有元数据匹配的不可信文件 | 匹配元数据时无法验证已签名文件的证书 |
| 9096 | 配置合并成功 | 配置合并已成功完成。 |
| 9097 | 配置合并失败 | 配置合并已失败。 |
| 9098 | 配置合并超时 | 配置合并已超时,等待预期的文件。 |
| 9099 | 未许可代理 | 未许可 应用程序控件。 |
由于 Windows 响应执行请求的方式,应用程序的单个请求可生成多个 9001 事件。因此,最好使用事件 9015 来准确地审核用户运行应用程序的次数。
9001、9007、9014 和 9015 事件默认已禁用,因为它们会在忙碌的端点上生成过多的事件数据。我们建议仅将这些事件用于故障排除目的,并且仅使用较短的时间。
事件筛选
事件筛选让您能够筛选要审计的文件类型。如果您选择大容量事件,此功能特别有用。单击审计对话框中的事件筛选即可访问事件筛选器表。启用事件筛选默认已启用,配置用于联合推荐的文件筛选器。根据需要更新设置,为每个列出的事件选择要审计的文件类型。单击添加为所需的事件类型指定新的文件类型。
系统事件
以下为不可配置的系统事件:
| 事件 ID | 事件名称 | 事件描述 |
|---|---|---|
| 8000 | 服务已启动 | 应用程序控件 代理:服务已启动。 |
| 8001 | 服务已停止 | 应用程序控件 代理:服务已停止。 |
| 8095 | 未找到任何配置 | 应用程序控件 无法找到有效配置。 |
| 8099 | 无效的许可证 | 未许可 应用程序控件 软件。 |
这篇文章有用吗?
主题:
不准确
不完整
不是所需内容
其他
版权所有 © 2019,Ivanti。保留所有权利。