规则分析器

在此部分:

关于规则分析器

标准审计可用于跟踪未经授权的应用程序使用情况,或跟踪用户覆盖/重命名应用程序的时间。这种机制简单易用,无需交互即可正常运行。例如,标准审计机制会告知您应用程序何时未被允许执行,但不会告知您出现这种情况的原因。因此,您需要一款附加工具来实时分析规则库,并确定应用程序被允许或不被允许执行的确切原因。

规则分析器可检查托管端点,从而收集有关 Application Control 规则如何应用的信息,并提供处理规则时规则中任何不一致或不准确的详细信息。规则分析器提供图形界面,可用于在整个企业内的任何位置实时手动排除故障并微调 Application Control 配置。为此,您只需将网络链接到远程 Application Control 托管端点,这样规则分析器就可以连接到代理软件并开始在本地端点上进行日志记录。

记录完成后,您可以使用规则分析器自动将网络上的日志文件拉回正在进行分析的计算机上,以供后续调查。所有日志记录信息均以 XML 格式保存,并且 Application Control 代理处理的每个执行请求都会随处理期间所发生事务的详细信息一起列出,这些信息包括进程是否被允许执行以及出现这种结果的原因。

控制台

规则分析器可从 Application Control 控制台中的导航窗格访问,用以创建、检索和检查日志文件。

通过“端点”节点,您可以控制到特定托管端点的登录,以便检索日志文件。每个“端点”节点下均为针对每个“已检索日志文件”节点的节点。

您可以审查摘要页面、查看所有请求或查看特定用户的请求。此外,您还可以限制对被拒绝或被允许请求的查看。在分析面板中,可以导航到特定请求并查看该请求的完整详细信息,包括 Application Control 应用了哪些规则。

您必须使用允许对要为使用规则分析器生成日志的任何托管端点的注册表进行读写访问的帐户进行登录,且具有对控制台所在计算机的本地注册表的读写访问权限。

先决条件

测试以下方面是否准备好:

  1. 在“开始”菜单上,选择控制面板
  2. 选择管理工具
  3. 双击服务
  4. 查找 Application Control“代理”。
  1. 在托管端点上启动“注册表编辑器”。
  2. 在 HKLM\Software\AppSense Technologies\Licensing 下查找许可证。
  1. 配置存储在以下位置:

  2. 导航到 C:\ProgramData\AppSense\ApplicationManager\Configuration。

    ProgramData 为隐藏的文件夹。打开 Windows 资源管理器并在地址栏键入 C:\ProgramData。按 Enter 打开文件夹。

  1. 在安装了 Application Control 控制台的计算机上打开 Windows 资源管理器。
  2. 在地址栏中输入 \\<computername>\c$ 并按 Enter 键。如果可以浏览文件夹,则具有访问权限。如果不能,系统将提示您输入允许访问的用户凭据。
  1. 在安装了 Application Control 控制台的计算机上打开“注册表编辑器”。
  2. 选择文件 > 连接网络注册表
  3. 将显示“选择计算机”对话框。
  4. 查找计算机,然后单击确定。如果您可以看到注册表项,则可以访问。

在运行 Windows 7 及更高版本的远程计算机上,“文件共享”和“远程注册表服务”默认处于禁用状态,必须在启用后才能确保规则分析器可以访问或创建日志文件:

  1. 开始 > 控制面板 > 网络和共享中心中打开“文件共享”。
  2. 开始 > 控制面板 > 管理工具 > 服务中启动“远程注册表服务”。

设置规则分析器的日志记录

第一个要求是将端点添加到规则分析器可以与之交互的端点列表中。规则分析器使用默认的 C$ 共享与目标计算机上运行的代理进行通信。

添加端点

在分析规则之前,必须指定端点。

  1. 单击规则分析器导航按钮。

    将显示“规则分析器”导航树。

  2. 在“规则”功能区中,单击添加端点并选择下列选项之一:
    • 浏览部署组 - 将显示“选择管理服务器”对话框。导航到部署组位置并选择所需的端点。
    • 浏览域/工作组 - 将显示“添加规则分析器端点”对话框。输入名称或 IP 地址,或使用“计算机”字段中的省略号 (...) 选择所需的端点,然后单击添加
  3. 将在“规则分析器”导航树中显示端点。添加之后,可通过规则分析器对端点进行分析。
  4. 要删除端点,请将其突出显示并单击“规则分析器”功能区中的删除端点按钮。

开始和停止记录

  1. 在导航树中选择端点。
  2. 选择“规则分析器”功能区中的开始记录

  3. 例如,如果需要,在端点上重新创建问题之后,选择“规则分析器”功能区中的开始记录

    将显示“文件”对话框。

  4. 输入日志文件名称并单击确定
  5. 将在导航树中显示 XML 文件。

规则分析器文件可能很大,所以只有当出现问题并需要进行调查时才应该使用该功能。

创建日志文件之后,您可以通过选择文件并使用“规则分析器”功能区中的“导出”和“删除”按钮将其导出或删除。

您还可以通过选择端点并单击“规则分析器”功能区中的“导入”来导入 XML 格式的日志文件。

日志文件

给定计算机的所有日志文件在记录期间均存储在本地计算机中,并暂时存储在以下位置:

 C:\Documents and Settings\All Users\Application Data\AppSense\ApplicationManager\Rules Analyzer\RulesAnalyzerLog.xml.

当在指定端点上停止记录时,将关闭日志文件并将其传输到运行规则分析器的计算机,然后将其存储在相关端点的缓存中。缓存保留在以下位置:

C:\Documents and Settings\All Users\Application Data\AppSense\ApplicationManager\Rules Analyzer\

文件的命名约定为 ComputerName^enteredname
例如:
C:\DocumentsSettings\All Users\Application Data\AppSense\ApplicationManager\Rules Analyzer\APPUKTECHPUBS2^Regedit.xml

计算机名称是在用户界面中输入的端点名称。因此,如果其为 IP 地址,则将被存储为 IPAddress^enteredname.xml

输入的名称是规则分析器中 XML 文件的名称。

规则分析器控制台以多种方式显示有关执行请求的信息,以方便了解详情:

在导航树中选择”日志文件”节点时,将显示端点摘要页面。

Application Control(2020.3 及更高版本)包含用于包括或排除“覆盖与重命名”请求的复选框。

在许多情况下,这些请求由 Windows 中的后台活动自动生成。

摘要会显示 Application Control 处理的请求数。表格的顶行显示所有用户的请求总数。剩余各行显示每个用户的请求数。“总数”列显示允许和拒绝的请求总数。“允许/拒绝”列显示允许或拒绝的请求数。

单击任何总数链接可显示“日志文件内容请求”列表。

要导出 XML 格式的日志文件,请选择“规则分析器”功能区中的导出

您可以选择“摘要”页面上的按处理时间查看请求,以显示“请求列表”页面。该页面会首先显示按最长运行时间排序的请求。

单击“摘要”页面中的“总数”链接时,“请求列表”页面将显示 Application Control 请求列表。

这些请求会按 Application Control 对其进行处理的顺序列出。

列出的每个请求都包括请求类型(2020.3 和更高版本),而且会显示绿色的勾或红色的叉,用于表明请求得到允许或遭到拒绝。

单击请求链接可显示日志文件内容请求详细信息。

单击“请求列表”页面中的请求时,“请求详细信息”页面将显示特定请求的详细信息。

“请求详细信息”页面将显示 Application Control 在处理请求时应用的每个规则。规则按应用顺序列出。列表中的最后一个规则决定最终结果,即允许或拒绝。规则信息包括链接,选中链接时,系统会显示用于说明规则项目的弹出消息。

使用页面顶部的返回链接可导航到上一页,使用摘要链接可返回到“摘要”页面。控制台工具栏上的“后退”按钮用于操纵导航树。

规则分析器任务

常见的规则分析器任务包括:

  • 分析日志文件 - 要分析日志文件,请选择“日志文件”节点。“分析工作”区域中显示的首页是“摘要”页面。您可以通过以下链接浏览“分析”面板。使用页面顶部的返回链接可返回到上一页。
  • 查看特定用户的请求 - 要查看特定用户的请求,请单击“摘要”页面中表格内的链接之一。您可以在“总数”列中单击以查看用户的所有请求,还可以在“允许”列或“拒绝”列中单击以仅查看允许或拒绝的请求。
  • 查找需要较长时间的请求 - 要查找需要较长时间的请求,请在“摘要”页面中单击“按处理时间查看请求”。该操作将显示排序后的请求,并首先显示运行时间最长的请求。显示的处理时间是 Ivanti Application Control 代理处理请求所花费的时间。