事件查看器
在 Application Control 2021.1 中引入的事件查看器是一款功能强大的查询工具,允许您查看、分组以及筛选或搜索事件,然后使用简单的拖动或复制手势,利用所识别的事件来修改或创建配置规则。事件查看器查询基于事件类型,可以通过轻松自定义专注于特定时间段、用户或计算机,然后通过筛选或搜索来识别特定事件属性。
在此部分:
•创建查询
事件查看器的典型用例是在初始设置 Application Control 时迭代审查审核数据,并修改相应配置。其对于响应用户请求或操作要求的特定查询也非常有用。定期执行这些审查可帮助确保您的配置始终符合预期目的并满足组织中用户的要求。
以下视频介绍了事件查看器功能:
事件查看器工具仅适用于 Ivanti Management Center (MC) 用户,即适用于 Management Center 用于收集事件数据的情形。
用户将需要升级至 Application Control 和 MC 的最新版本,以确保按预期返回事件查看器数据。
要启用离线查询分析,可以将结果保存到文件并在随后共享、打开和修改 - 无需建立或保持数据库连接(2021.3 及更高版本)。
有关 MC 中记录的应用程序事件 ID 的列表,请参阅可用事件(另请参阅服务台门户请求记录)。
创建查询
1.从控制台功能区中,选择管理 > 事件查看器。
“Application Control 事件”对话框随即显示。
连接详细信息与 AppSense 在企业模式下通过 Ivanti Management Center 存储和部署配置时使用的信息相同。如果您之前已保存数据库连接,详细信息将保存为用户配置文件的一部分并在此处列出。要添加或修改 MC 连接,请参阅下面的创建 MC 连接:。
3.从“选择管理服务器”对话框中,点击所需的连接或选择连接,然后点击连接。
“用户连接”对话框随即打开。
4.在“用户连接”对话框中,选择所需的选项:
连接为
当前用户 - 选择此选项以使用当前用户配置文件进行连接。
自定义用户 - 选择此选项以使用替代用户配置文件进行连接。
请注意,要访问 MC,您所选择的用户配置文件必须具有必要的数据库访问权限。
记住我 - 根据需要选择或清除此复选框。
完成时,点击确定保存连接凭据。
输入连接详细信息后,“用户连接”对话框将关闭并建立连接。
5.在视图字段中,点击箭头图标并从列表中选择所需的视图。
该列表包含预配置视图以及您之前已保存的任何自定义视图。
每个视图均表示您可以查询的事件类别,将根据相应的事件 ID 返回结果。
预配置视图
预配置视图包括:
•拒绝的可执行文件
•允许的可执行文件
•策略更改请求
•策略更改可执行文件
•权限管理
•权限发现
•自授权
•自行提升
•UAC 替换
•浏览器控件
大多数视图仅返回单个事件类型。例如,权限管理列出更改应用程序权限的时间(事件 ID 9018)。其他视图返回多个事件类型。例如,拒绝的可执行文件视图显示记录以下内容的事件:已拒绝执行、应用程序限制拒绝、时间限制拒绝、应用程序终止、已拒绝执行(使用受信任的所有权)和已拒绝执行(使用规则策略)。
更改已包含的事件类型
在包含多个事件 ID 的情况下,管理员可以根据需要来修改和缩减列表 (Application Control 2021.3):
-
选择更改。随即显示“事件选择”对话框,列出视图中包含的所有事件。
-
根据需要,选中或清除每个事件的复选框,然后点击确定。
请注意,某些查询可能返回大量数据并需要大量时间才能运行,尤其是在您的数据库较大的情况下。强烈建议您使用时间范围、部署组、用户或计算机等筛选器来限制此类查询并选择仅汇总(如果适用)。
1.在部署组字段中,点击箭头图标并从列表中选择所需的组。列出的部署组是在您进行数据库连接时 MC 中定义的组。请注意,如果您在当前会话中已添加或删除组,请重新连接到 MC 以更新列出的组。
2.选择所需的特定部署组。或者选择:
•所有 - 返回已定义的所有部署组中的事件
•(默认) - 返回默认部署组中的事件 - 如 MC 中所定义
3.在时间范围字段中,点击箭头图标并从列表中选择所需的时间段。
或者,选择 <Specify custom period>,并在“自定义时间范围”对话框中,指定所需时间范围的开始和结束时间,然后点击确定。
4.如果需要,请点击用户字段旁的省略号,并从“选择用户”对话框中选择(或指定)所需的用户,然后点击确定。
通过已针对特定用户进行筛选的事件查看器查询,您可以诊断和解决报告的用户问题或请求。通过添加查询时间范围,可以获得非常具体的结果。这些查询将仅返回用户引发的事件和所需的时间范围。
要指定所需的用户,请输入包含域和用户名的精确匹配项。例如 ivanti/example.username
选择用户
请注意,如果选中“仅汇总”复选框,则“用户”字段不可用。
•在“选择用户”对话框中,点击高级...展开对话框:
•在“常用查询”面板中,在“名称”和/或“描述”字段中输入搜索词,然后点击立即查找。
将列出匹配的结果。
•选择所需用户,然后点击确定以确认。
5.如果需要,请点击计算机字段旁的省略号,然后选择所需的计算机。或者,请直接输入计算机域和名称的精确匹配项。
如果选中“仅汇总”复选框,则“计算机”字段不可用。
6.根据需要,选择或清除仅汇总复选框。
“仅汇总”选项会对类似事件进行分组,并提供所有已识别实例的总发生次数和用户数量。管理员可通过这些数据立即了解重复发生的事件和/或用户数量。例如,其可识别被阻止频率最高的文件,或已允许的应用程序。“仅汇总”视图将忽略特定于用户和计算机数据,仅提供实例数量。仅适用于允许和拒绝的可执行查询。
清除“仅汇总”选项后,查询将以简单网格形式返回所有事件数据,而不提供总计或用户数量值。
7.要运行查询,请选择运行查询。
结果将会列出并可进行查看。如果要更改视图或筛选器,必须重新运行查询以更新结果。
环境变量
Application Control 将标准化事件中已识别的可执行文件的绝对文件路径。它将会替代某些特定于用户或计算机的值的标准环境变量。这意味着不同用户和/或在不同的计算机中访问同一文件时,标准化路径将显示相同结果。
示例:
|
绝对路径 |
标准化路径 |
|---|---|
|
C:\ProgramData D:\ProgramData |
%programdata% |
|
C:\users\test\desktop\test.exe |
%userprofile%\desktop\test.exe |
创建 MC 连接:
•从“选择管理服务器”对话框中,点击添加图标。
“添加服务器”对话框随即打开。
•在“添加服务器”对话框中,输入 MC 的连接详细信息:
请注意,配置 MC 时将确定这些详细信息。请参考关于管理中心,或联系您的系统管理员。
友好名称 - 所需服务器的“友好”或更具描述性的名称。
选择服务器
协议 - 选择 http 或 https。
服务器名称 - 输入或选择 MC 服务器名称。
端口 - 连接至 MC 时所使用的端口。
完整 URL - MC 服务器的完整 URL。
•输入详细信息后,请点击添加。
连接已保存并在“选择管理服务器”对话框中列出。
自定义显示的查询结果
运行查询后,您可以自定义结果的显示方式,保存您的自定义视图并导出结果。
配置显示
可以配置“Application Control 事件”对话框的结果部分。
• 按列标题对结果分组 - 示例。将列标题拖动至结果表格顶部。此操作将根据选定的列标题对返回的结果进行分组。
•使用搜索结果 - 示例工具可仅包含符合搜索条件的事件。搜索适用于所有列。条件可以包括文件名或扩展名、用户或计算机名称等。对于拒绝的可执行文件查询,如果返回许多事件 ID,您可以搜索特定事件 ID。
•将筛选器列 - 示例应用于一个或多个列标题。这允许您包含或排除符合条件的事件。
点击显示筛选器编辑器可将筛选器添加到查询结果中。或者,将鼠标悬停在列标题上,然后点击筛选器图标。
“筛选器编辑器”对话框随即打开,允许您指定所需的筛选条件。
请观看“权限发现”用例视频,了解关于创建和应用筛选器的说明。
•点击选择列可对查询结果中显示的列进行自定义。
•点击并拖动列标题至新位置,可对列重新排序。
•在列标题中点击可按升序或降序的方式对列进行排序。
对结果分组 - 示例
结果表格标题包含文本:将列标题拖动至此处以按此列分组。
1.要对查询结果进行分组,请选择所需的列标题,然后将其拖动至对话框内的标题行。
2.将根据应用的列标题对结果进行分组。
在下面显示的示例中,将根据公司名称对结果进行分组。
3.如果需要构建结构化结果列表,则可应用进一步分组。
表格标题中将指示分组结构。
取消分组
•要删除分组,请在表格标题行中将其选中,然后将选项拖放至所需的位置:
•移动至列标题,可取消分组并将列保留在返回结果中。
•移动至“事件查看器”对话框以外的任何位置,可取消分组并从查询结果中删除列。
请注意,如果您错误删除列标题,则将需要重新运行查询。
搜索结果 - 示例
要启动搜索,请在搜索栏中输入要查找的文本,然后点击查找。仅显示与搜索条件相匹配的事件;会隐藏所有其他事件。
如果搜索字段不可见,请右键点击“结果”视图中的列标题,然后在上下文菜单中选择显示查找面板。
事件查看器搜索工具的提示
•“搜索”工具仅对当前可见的信息起作用。
可以通过右键点击列标题来添加或删除要搜索的列。
•如果已应用筛选器,则仅显示与搜索条件和筛选条件匹配的更新。
•将显示所有部分匹配项。
•搜索不区分大小写。
•不支持使用通配符。
•点击清除可清除搜索条件。
筛选器列 - 示例
点击显示筛选器编辑器,或将鼠标悬停在列标题上,然后点击筛选器图标。或者,右键点击所需的列并从上下文菜单中选择筛选器编辑器。
•在“筛选器编辑器”对话框中,输入所需的条件。
在所示示例中,我们创建了一个筛选器以仅显示路径以 C:\users 开头的匹配项
•指定条件后,请点击确定。
或者,请点击应用查看筛选结果,然后在想要继续时点击确定。
•筛选器将应用至返回结果,并将显示条件。
•要删除筛选器,请清除“筛选条件”复选框。
保存和管理自定义查询
修改可以保存为自定义查询,让您能够保留所做的更改,并根据需要重新访问和重新运行查询。已保存的自定义查询适用于视图列表中的选项(请参阅视图字段)。
•点击保存可保存对自定义查询做出的所有更改。
•点击另存为可使用唯一名称保存当前自定义查询。请注意,必须先运行查询以激活另存为选项。
•点击管理以显示所有自定义查询列表。“管理视图”对话框允许您选择查询,并对其进行重命名或删除。
导出数据
查询结果可以 CSV 格式导出。
选择导出数据并选择所需的选项:
•导出包含所选列的当前视图 - 仅导出当前自定义视图。
•导出包含所有列的当前视图 - 导出所有返回的查询结果。
离线事件查看(2021.3 及更高版本)
可以将查询结果保存到 AC 事件文件 (.acevents),以启用离线事件查看和编辑。可以共享文件,以及审查和修改数据,无需再次运行查询,也不必建立或保持数据库连接。
保存事件
将事件保存到 AC 事件文件:
•选择保存事件。
•在“另存为”对话框中,导航至所需的文件夹位置,输入文件名,然后选择保存。
查看已保存的事件
打开和查看 AC 事件文件:
-
从“应用程序控制事件”对话框中,选择打开已保存的事件按钮。
-
在“打开”对话框中,导航至所需的文件夹位置,选择所需的文件名,然后选择打开。
.acevents 文件会在新对话框中打开。
编辑已保存的事件数据
可以筛选和编辑数据,并将数据用于修改或创建配置规则。
有关可用功能的描述,请参阅修改配置规则。
修改配置规则
事件查看器在相对于 Application Control 控制台的单独窗口中运行。这使得用户可以将查看器中的项目拖动(或复制和粘贴)到控制台中,并立即修改或创建所需的规则。
可对列出的事件进行拖放、复制和粘贴,以便为以下内容创建文件路径、文件名、文件夹或文件哈希规则项目:
•规则集合
•规则集 > 可执行的控件 > 允许/拒绝
•规则集 > 权限管理 > 应用程序/自行提升
在运行查询和查看结果后:
1.打开 Application Control 控制台,在“配置”导航面板中,展开规则并选择所需的配置规则。
2.在“事件查看器”对话框中,选择所需的事件,然后将项目复制或拖动至“配置”对话框。
请注意,如果需要,可选择多个事件并将其添加至配置。
3.“选择规则项目类型”对话框随即显示。
选择所需的规则类型:
•文件路径 - 从事件 ID 中复制文件的完整路径。应用至文件规则。
•文件名 - 从事件 ID 中复制文件名。应用至文件规则。
•文件夹 - 从事件 ID 中复制文件夹名称和路径。应用至文件夹规则。
•文件哈希 - 从事件 ID 中复制文件哈希。应用至签名规则。
4.此规则项目将立即添加至配置。
5.如果所添加的项目为文件或文件夹,您可以查看和/或编辑其属性和元数据以确保完整性。
双击新添加的项目以打开“编辑”对话框,或右键点击项目并选择编辑。
请注意,对于通过事件查看器添加的项目,默认未启用元数据。在“编辑”对话框中点击“元数据”选项卡,并选择所需数据的复选框。将立即显示相关数据。有关详细信息,请参阅元数据。
使用事件查看器修改配置 - 示例:
添加允许的项目
使用事件查看器,您可以识别许多用户已允许且您想要提供给所有用户的文件的重复事件:
1.打开 Application Control 控制台,在“配置”导航窗格中选择所有人 > 允许的项目。
2.在“事件查看器”对话框中,选择所需的事件,然后将项目复制或拖动至“配置”对话框。
3.“选择规则项目类型”对话框随即显示。
在我们的示例中将选择文件路径。
4.已添加规则项目。
添加应用程序特定用户权限
您使用权限发现视图运行事件查看器查询,返回结果显示特定 Microsoft 的大量应用程序已启动提升事件 (ID 9062),您决定更改相应用户权限。
1.打开 Application Control 控制台,在“配置”导航窗格中选择所有人 > 用户权限,然后查看“应用程序”选项卡。
2.在“事件查看器”对话框中,选择所需的事件,然后将项目复制或拖动至配置的“应用程序”选项卡。
3.“选择规则项目类型”对话框随即显示。
在我们的示例中,将选择文件名或文件夹名称以指定位于特定位置的文件。
4.已添加规则项目。
5.双击项目。在“编辑”对话框中,点击“元数据”选项卡。
6.选择产品名称和供应商旁的复选框。
将立即显示这些字段的值。
7.启用“产品名称”和“供应商”字段后,将仅允许运行匹配元数据值的应用程序。任何其他类似命名的文件将被阻止。
结果上下文菜单
在列标题中右键点击可显示上下文菜单。该菜单列出了许多附加操作。
操作
•升序排序:按升序对所选列进行排序。
•降序排序:按降序对所选列进行排序。
•清除排序:清除当前为某个列设置的升序或降序排序条件。
•按此列分组:使用所选列中的数据对列表进行分组。将为每个可能的列值创建一个可扩展列表。
如果在任何后续列上执行此操作,那么这些数据将显示为可扩展列表内越来越低级别的嵌套组。
如果启用显示组面板,则会在列标题正上方的区域中显示“分组条件”框。
提示:要关闭按此列分组功能并恢复至原始视图:启用显示组面板。右键点击每个分组依据框并选择取消分组。然后在列标题中右键点击并选择隐藏组面板。
•显示组面板/隐藏组面板:显示或隐藏列标题正上方包含“分组条件”框的区域。将当前已启用按列分组的每个列标题显示一个“分组条件”框。您还可以将列标题拖放到此区域。
该表将根据框中的数据进行分组。如果有两个或更多框,则分组将被嵌套,最左边的框显示在最高级别,第二个框显示在第二级别,以此类推。
•显示列选择器:让您能够在网格中添加和隐藏信息。选择显示列选择器时,会显示列选择器对话框。该对话框用于指定要在网格中显示哪些可用列。如果您点击并拖动列表中的条目到对话框中的新位置,网格中的列将被重新排序以进行匹配。
•最合适:调整所选列的宽度,以便标题文本显示时占用最佳的空间量。
•最合适(所有列):调整表中所有列的宽度,以便标题文本显示时占用最佳的空间量。
•筛选器编辑器:筛选器编辑器对话框将显示列标题中当前处于活动状态的所有高级筛选器。您可以使用编辑器修改现有的筛选条件,使用可用的筛选条件和逻辑运算符构建新条件。