稽核
在這個部分中:
關於篩選
應用程式控制 稽核功能允許您定義稽核資訊擷取與要引發事件的規則,並且包括可用於指定您想在記錄內擷取之事件的篩選器。可從「管理」功能區存取稽核。
控制一般稽核行為
使用下列選項來控制一般稽核行為,並且選取要引發的事件:
- 傳送事件至應用程式事件記錄 - 選擇是否要傳送事件至「應用程式事件記錄」。
- 傳送事件至 AppSense 事件記錄 - 選擇是否要傳送事件至「AppSense 事件記錄」。您可以僅傳送事件至「應用程式事件記錄」或「AppSense 事件記錄」。
- 讓事件匿名 - 指定事件是否要匿名。若為是,會在所有事件內省略電腦名稱及使用者名稱。匿名記錄也會搜尋任何檔案路徑中目錄與使用者名稱相符的執行個體,並使用字串來取代目錄名稱
- 傳送事件至本機檔案記錄 - 選擇是否傳送事件至本機檔案記錄。若為是,事件會傳送至「文字」方塊指定的本機記錄檔案。預設位置為: %SYSTEMDRIVE%\AppSenseLogs\Auditing\ApplicationManagerEvents_%COMPUTERNAME%
- 本機檔案記錄格式- 指定事件記錄是要儲存為 XML 格式還是 CSV 格式。
在企業安裝中,事件可透過「部署代理程式」(CCA) 轉送至 管理中心。使用此方法進行稽核時,會透過 管理中心 控制台設定事件資料儲存與篩選。
如需詳細資訊,請參閱 管理中心 說明。
選取要引發的事件
對話方塊的此一區段會列出所有 應用程式控制 事件。依據選取的稽核行為選項,針對要在本機引發的事件選取本機記錄核取方塊。
請注意,有部分事件會受事件篩選的規範,所以除了要透過「在本機記錄」核取方塊將其啟用外,還必須確保已依需要設定「事件篩選」。
可用事件
| 事件 ID | 事件名稱 | 事件說明 |
|---|---|---|
| 9000 | 拒絕的執行 | 拒絕的執行要求。 |
| 9001 | 允許的執行 | 允許的執行要求。 由於 Windows 回應執行要求的方式,對應用程式的單一要求可以產生多個 9001 事件。因此,最好使用事件 9015 準確稽核使用者執行應用程式的次數。 |
| 9002 | 覆寫已變更所有者 | 覆寫允許的可執行檔案。 |
| 9003 | 重新命名已變更所有者 | 重新命名拒絕的可執行檔案。 |
| 9004 | 應用程式限制拒絕 | 應用程式限制拒絕。 |
| 9005 | 時間限制拒絕 | 時間限制拒絕。 |
| 9006 | 自助授權 | 使用者的自助授權決定。 |
| 9007 | 允許自助授權 | 自助授權執行要求。 |
| 9009 | 已編寫指令碼規則逾時 | 指令碼執行已逾時。 |
| 9010 | 已編寫指令碼規則失敗 | 指令碼無法完成。 VB 指令碼失敗時才會引發此事件。 |
| 9011 | 已編寫指令碼規則成功 | 指令碼順利完成。 |
| 9012 | 受信任廠商拒絕 | 數位憑證未通過受信件廠商檢查。 |
| 9013 | 拒絕的網路項目 | 拒絕的網路項目要求。 |
| 9014 | 允許的網路項目 | 允許的網路項目要求。 |
| 9015 | 應用程式已啟動 | 允許的應用程式已啟動執行。 由於 Windows 回應執行要求的方式,對應用程式的單一要求可以產生多個 9001 事件。因此,最好使用事件 9015 準確稽核使用者執行應用程式的次數。 |
| 9016 | 無法變更擁有權 | 無法變更檔案的擁有權。 |
| 9017 | 應用程式終止 | 拒絕的應用程式已遭 應用程式控制 終止。 |
| 9018 | 應用程式使用者權限已變更 | 應用程式的使用者權限已變更。 另請參閱 9023。 |
| 9019 | 允許的 Web 安裝 | 允許的 Web 安裝要求。 |
| 9020 | Web 安裝受限制 | 受限制的 Web 安裝要求。 |
| 9021 | Web 安裝受限制 | Windows 受限制的 Web 安裝要求。 |
| 9022 | Web 安裝失敗 | Web 安裝無法完成。 |
| 9023 | 允許的自我提高權限 | 自我提高權限要求。 亦用於替代 9018 事件,其中的規則項目使用者權限應用程式已設為在提高權限之前提示使用者。 |
| 9024 | URL 重新導向 | 已發生的 URL 重新導向。 |
| 9051 | 已授與原則變更 | 已授予原則變更要求。 |
| 9052 | 原則變更的無效回應代碼 | 已針對原則變更要求輸入了無效的回應代碼。 |
| 9053 | 使用者要求允許 | 允許的原則變更申請已啟動。 |
| 9054 | 使用者要求提高權限 | 提高權限的原則變更申請已啟動。 |
| 9055 | 服務啟動/停止 | 服務已啟動或停止。 |
| 9056 | 中繼資料符合的未受信任檔案 | 比對中繼資料時無法驗證已簽署檔案的憑證。 |
| 9060 | 拒絕的執行 (受信任擁有權) | 拒絕的執行要求 (受信任擁有權) |
| 9061 | 拒絕的執行 (規則原則) | 拒絕的執行要求 (規則原則) |
| 9062 | 管理員處理序已開始事件 | 應用程式已藉由提高 (系統高權限管理員) 權限啟動。 |
| 9063 | UAC 替代項目 - 稽核 | 需要提高權限的原因,由使用者提供。 |
| 9096 | 組態合併成功 | 組態合併已成功完成。 |
| 9097 | 組態合併失敗 | 組態合併已失敗。 |
| 9098 | 組態合併逾時 | 因等候預期檔案,組態合併已逾時。 |
| 9099 | 代理程式未獲授權 | 應用程式控制 未獲授權。 |
附註
•由於 Windows 回應執行要求的方式,對應用程式的單一要求可以產生多個 9001 事件。因此,最好使用事件 9015 準確稽核使用者執行應用程式的次數。
9001、9007、9014 和 9015 事件會依預設停用,因為它們會在忙碌的端點上產生過量的事件資料。在此建議您僅於疑難排解用途時才使用這些事件,而且僅於短時間內使用。
•應用程式控制 2020.2 版引入了事件 ID: 9060 和 9061。預設情況下,這兩個事件皆會停用。它們能讓組織在必要的情況下區分遭受信任擁有權禁止的執行要求,以及遭規則原則明確禁止的執行要求。
如要進行此區別,請依需要啟用事件 ID 9060 和/或 9061。若您啟用了這些設定的任一項 (或兩項),為避免重複通知,您應停用事件 ID 9000。
•2020.2 版亦引入了事件 ID 9062。其可識別使用完整管理員權限啟動的處理序,在評估需要哪些提高權限時非常有用。請注意,在停用 Windows UAC 或使用內建管理員帳戶的情況下,所有處理序均會使用完整管理員權限執行,從而導致產生大量通知。
事件過濾
「事件篩選」允許您篩選想要稽核的檔案類型。若您選擇了一項大量事件,此功能特別有用。按一下「稽核」對話方塊內的事件篩選即可存取事件篩選表。啟用事件篩選會依預設啟用,並且已設定成與推薦的檔案篩選器搭配使用。依需要更新設定,針對各個列出之事件選取要稽核的檔案類型。按一下新增,為所需事件類型指定新的檔案類型。
若要在從 應用程式控制 早期版本升級的組態中啟用事件篩選,除了依上述方式啟用事件 ID 的事件篩選外,還需要為所需檔案類型手動選取啟用事件篩選核取方塊。
系統事件
以下是無法設定的系統事件:
| 事件 ID | 事件名稱 | 事件說明 |
|---|---|---|
| 8000 | 服務已啟動 | 應用程式控制 代理程式: 服務已啟動。 |
| 8001 | 服務已停止 | 應用程式控制 代理程式: 服務已停止。 |
| 8095 | 找不到組態 | 應用程式控制 找不到有效組態。 |
| 8099 | 無效的授權 | 應用程式控制 軟體未獲授權。 |