事件檢視器
於 應用程式控制 2021.1 中引入的事件檢視器是一種強大的查詢工具,可讓您檢視、分組及篩選或搜尋事件,然後透過使用簡易拖曳或複製手勢並利用識別的事件來修改或建立組態規則。事件檢視器查詢是以事件類型為基礎,可輕鬆自訂以專注於特定時段、使用者或機器,然後進行篩選或搜尋以識別特定事件屬性。
在這個部分中:
•建立查詢
事件檢視器的一般使用情況是依照 應用程式控制 的初始設定反覆檢閱稽核資料,並隨之修改組態。此外,用來回應使用者要求或操作需求的特定查詢也很有用。定期執行這類檢閱可確保組態能持續適用於特定目的,並符合組織中所有使用者的需求。
以下影片介紹事件檢視器的功能:
事件檢視器僅適用於Ivanti 管理中心 (MC) 使用者,也就是 管理中心 用來收集事件資料的位置。
使用者將需要升級至最新版的 應用程式控制 和 MC,以確保事件檢視器資料能如預期般傳回。
要離線進行查詢分析,可以將結果儲存成檔案,後續即可共用、開啟和修改 - 不需要建立或保持資料庫連線 (2021.3 及更新版本)。
如需 MC 中記錄的「應用程式事件 ID」清單,請參閱可用事件 (另請參閱服務台入口要求記錄。
建立查詢
1.從控制台功能區中,選取管理 > 事件檢視器。
「應用程式控制 事件」對話方塊隨即顯示。
2.按一下管理連線。
「管理伺服器資料庫連線」對話方塊隨即開啟。
連線詳細資訊與 AppSense 在企業模式中使用的資訊相同,可透過 Ivanti 管理中心 儲存及部署組態。若您之前已儲存資料庫連線,這些詳細資訊將會另存為使用者設定檔的一部分並在此處列出。若要新增或修改 MC 連線,請參閱下方的建立 MC 連線:。
3.在「選取管理伺服器」對話方塊中,按一下需要的連線或選取連線並按一下連線。
「使用者連線」對話方塊隨即開啟。
4.在「使用者連線」對話方塊中,選取所需選項:
連線為
目前使用者 - 選取此選項以使用目前的使用者設定檔連線。
自訂使用者 - 選取此選項以使用替代的使用者設定檔連線。
請注意,若要存取 MC,您選取的使用者設定檔必須具備必要的資料庫存取權限。
記住我 - 視需要選取或清除此核取方塊。
在完成時,按一下確定以儲存連線憑證。
在輸入連線詳細資訊後,「使用者連線」對話方塊將會關閉並建立連線。
5.在檢視欄位中按一下箭頭圖示並在清單中選取需要的檢視。
此清單包含預先設定的檢視,再加上您之前儲存的任何自訂檢視。
每個檢視都各自代表您可查詢的事件類別,且會根據對應的事件 ID 傳回結果。
預先設定的檢視
預先設定的檢視包含:
•拒絕的可執行檔
•允許的可執行檔
•原則變更要求
•原則變更可執行檔
•權限管理
•權限搜尋
•自助授權
•自我提高權限
•UAC 替代項目
•瀏覽器控制項
大多數的檢視只會傳回單一事件類型。例如,權限管理會列出變更應用程式權限的時間點 (事件 ID 9018)。其他檢視則會傳回數種事件類型。舉例來說,遭拒的可執行檔會顯示事件紀錄拒絕的執行、應用程式限制拒絕、時間限制拒絕、應用程式終止、遭拒的執行 (使用受信任擁有權),以及遭拒的執行 (使用規則原則)。
變更包含的事件類型
如包含多個事件 ID,管理員可以視需要修改及縮短清單 (應用程式控制 2021.3 ):
-
選取變更。隨即顯示「事件選取項目」對話方塊,其中列出該檢視中包含的所有事件。
-
視需要勾選或清除各個事件的核取方塊,然後按一下確定。
請注意,某些查詢可能會傳回大量的資料且需要很長的時間執行 - 尤其當您的資料庫非常大時。強烈建議您使用如時間範圍、部署群組、使用者或電腦等篩選器限制這類查詢,並選取僅摘要 (如果適用)。
1.在部署群組欄位中按一下箭頭圖示,並在清單中選取必要的群組。這裡所列的部署群組是資料庫連線時在 MC 中定義的群組。請注意,若您在目前的工作階段中新增或刪除了群組,請重新連線至 MC 並更新此處所列的群組。
2.選取必要的特定部署群組。或者選取:
•全部 - 會從已定義的所有部署群組傳回事件
•(預設) - 會從預設部署群組傳回事件 - 如 MC 中所定義
3.在時間範圍欄位中按一下箭頭圖示並在清單中選取需要的期間。
或者,可選取 <Specify custom period>,並在「自訂時間範圍」中針對需要的時間範圍指定開始和結束時間,然後按下確定。
4.如有需要,可按一下使用者欄位旁的省略符號,並從「選取使用者」對話方塊中選取 (或指定) 需要的使用者,然後按一下確定。
針對特定使用者篩選的事件檢視器查詢可讓您進行疑難排解,並解決通報的使用者或要求。增加查詢的時間範圍有助於得到高度特定的結果。查詢將僅傳回針對所需使用者和時間範圍引發的事件。
若要指定需要的使用者,請輸入包含網域和使用者名稱的完全符合項目。例如,ivanti/example.username
選取使用者
請注意,若您已選取「僅摘要」核取方塊,則無法使用「使用者」欄位。
•在「選取使用者」對話方塊中,按一下進階...要展開對話方塊:
•在「一般查詢」面板的「名稱」和/或「說明」欄位中輸入搜尋詞彙,然後按一下立即尋找。
相符的結果隨即列出。
•選取所需的使用者,並按一下確定進行確認。
5.如有需要,可按一下電腦欄位旁的省略符號,並選取需要的電腦。或者,可直接輸入電腦網域和名稱的完全符合項目。
若您已選取「僅摘要」核取方塊,則無法使用「電腦」欄位。
6.視需要選取或清除僅摘要核取方塊。
「僅摘要」選項會將類似的事件分在同一組,並針對所有識別的執行個體提供發生次數和使用者人數總計。此資料可讓管理員立即掌握哪些事件不斷重複和/或有多少使用者。例如,它可識別最常被封鎖的檔案,或已允許的應用程式。「僅摘要」檢視會忽略使用者和電腦特定資料,並僅提供執行個體的數量。這僅適用於允許或拒絕的可執行檔查詢。
清除「僅摘要」選項時,查詢將會傳回以簡單格線顯示的所有事件資料,且不含總計或使用者人數的值。
7.若要執行查詢,請選取執行查詢。
結果隨即列出並可供檢閱。若您要變更檢視或篩選器,則必須重新執行查詢以更新結果。
環境變數
應用程式控制 會針對事件中識別的可執行檔標準化其絕對檔案路徑。並且會針對某些使用者或電腦特定的值替換其標準環境變數。這表示當相同檔案由不同使用者存取和/或位於不同電腦上時,標準化路徑仍會將其顯示為相同檔案。
範例:
|
絕對路徑 |
標準化路徑 |
|---|---|
|
C:\ProgramData D:\ProgramData |
%programdata% |
|
C:\users\test\desktop\test.exe |
%userprofile%\desktop\test.exe |
建立 MC 連線:
•在「選取管理伺服器」對話方塊中,按一下新增圖示。
「新增伺服器」對話方塊隨即開啟。
•請於「新增伺服器」對話方塊中輸入 MC 的連線詳細資訊:
請注意,在設定 MC 時就會決定這些詳細資訊。請參閱關於管理中心,或向系統管理員洽詢。
易記名稱 - 為所需的伺服器提供「易記」或更具描述性的名稱。
選取伺服器
通訊協定 - 選取 http 或 https。
伺服器名稱 - 輸入或選取 MC 伺服器名稱。
連接埠 - 用於連線 MC 的連接埠。
完整 URL - MC 伺服器的完整 URL。
•輸入詳細資訊後,按一下新增。
連線隨即儲存,並會在「選取管理伺服器」對話方塊中列出。
會顯示自訂查詢結果
在執行查詢後,您可以修改結果的顯示方式、儲存您自訂的檢視並匯出結果。
設定顯示
「應用程式控制 事件」對話方塊的結果區段可設定。
• 依欄標頭群組結果 - 範例。將欄標頭拖曳至結果表格上方。此動作可根據選取的欄標頭分組傳回的結果。
•使用搜尋結果 - 範例工具以僅加入那些與搜尋準則相符的事件。搜尋適用於所有欄。篩選可包含檔案名稱或副檔名,例如使用者或電腦名稱。例如,在會傳回事件 ID 數量的「拒絕的可執行檔」查詢中,您可以搜尋特殊事件 ID。
•將篩選器欄 - 範例套用至一或多個欄標頭。這可讓您加入「或」排除那些符合準則的事件。
按一下顯示篩選器編輯器,將篩選器新增至查詢結果。或是將滑鼠懸停在欄標頭上,然後按一下篩選器圖示。
「篩選器編輯器」對話方塊隨即開啟,可讓您指定需要的篩選準則。
請觀看權限搜尋使用案例影片的示範,瞭解如何建立及套用篩選器。
•按一下選擇欄,自訂要顯示在查詢結果中的欄。
•按一下並拖曳欄標頭至新的位置可重新排序這些欄。
•按一下欄標頭,即可依遞增或遞減順序排序排序欄。
群組結果 - 範例
結果表格標頭包含文字: 將欄標頭拖曳到此處並根據欄劃分群組。
1.若要分組查詢結果,請選取需要的欄標頭並將其拖曳至對話方塊中的標頭列。
2.系統會根據套用的欄標頭分組結果。
在下方顯示的範例中,這些結果是根據公司名稱進行分組。
3.若需要建立結構化的結果清單,則可套用進一步的分組。
表格標頭中會註明分組結構。
取消群組
•若要移除分組,請在表格標頭列中選取它,然後將選項拖放至需要的位置:
•移至欄標頭以取消群組,並在傳回的結果中保留欄。
•在「事件檢視器」對話方塊外的任何位置移動以取消群組,並移除查詢結果中的欄。
請注意,若您移除欄標頭時發生錯誤,則需要重新執行查詢。
搜尋結果 - 範例
若要開始搜尋,請於搜尋列中輸入要尋找的文字,然後按一下尋找。會顯示符合搜尋準則的事件;而所有其他事件則會隱藏。
若無法看見「搜尋」欄位,請在「結果」檢視的欄標頭上以滑鼠右鍵按一下,然後從內容功能表選取顯示尋找面板。
事件檢視器搜尋工具的提示
•搜尋工具僅適用於目前顯示的資訊。
您可以用滑鼠右鍵按一下欄標頭以新增或移除要搜尋的欄。
•若已套用篩選器,僅有同時符合搜尋準則及篩選器準則的更新才會顯示。
•顯示所有部分符合項目。
•搜尋不區分大小寫。
•不支援使用萬用字元。
•按一下清除以清除搜尋準則。
篩選器欄 - 範例
按一下顯示篩選器編輯器,或是將滑鼠懸停在欄標頭上,然後按一下篩選器圖示。或者,以滑鼠右鍵按一下所需欄,然後從內容功能表中選取篩選器編輯器。
•在「篩選器編輯器」對話方塊中,輸入所需的準則。
在下方顯示的範例中,我們會建立一個篩選器以僅顯示路徑以 C:\users 開頭的符合項目
•當指定好您的準則後,按一下確定。
或者,按一下套用以檢視篩選器結果,然後按一下確定以繼續。
•篩選器會套用至傳回的結果中並顯示準則。
•若要移除篩選器,請清除篩選器準則核取方塊。
儲存並管理自訂查詢
您可以將修改另存為自訂查詢,使您可以視需要保留所做的變更、重新瀏覽及重新執行查詢。您可以在檢視清單 (參照檢視欄位) 中選擇已儲存的自訂查詢。
•按一下儲存,儲存您對自訂查詢所做的任何變更。
•按一下另存新檔,使用唯一名稱儲存您目前的自訂查詢。請注意,您必須先執行查詢以啟動另存新檔選項。
•按一下管理以顯示所有自訂查詢清單。「管理檢視」對話方塊可讓您選取查詢,然後將其重新命名或刪除。
匯出資料
查詢結果可使用 CSV 格式匯出。
選取匯出資料並選擇必要的選項:
•匯出包含已選欄的目前檢視 - 僅匯出目前的自訂檢視。
•匯出包含全部欄的目前檢視 - 匯出傳回的所有查詢結果。
離線事件檢視 (2021.3 和更新版本)
將查詢結果儲存成 AC 事件檔案 (.acevents) 即可離線檢視和編輯事件。這是可以共用的檔案,也可以檢視和修改資料,不需要再次執行查詢,也不必建立或保持資料庫連線。
儲存事件
將事件儲存至 AC 事件檔案:
•選取儲存事件。
•在「另存新檔」對話方塊中,瀏覽所需的資料夾位置,輸入檔案名稱,然後選取儲存。
檢視已儲存的事件
開啟並檢視 AC 事件檔案:
-
在「應用程式控制事件」對話方塊中選取這個按鈕: 開啟已儲存的事件。
-
在「開啟」對話方塊中,瀏覽所需的資料夾位置,選取所需的檔案名稱,然後選取開啟。
.acevents 檔案會在新的對話方塊中開啟。
編輯已儲存的事件資料
您可以篩選、編輯資料,也可以使用資料修改或建立組態規則。
如需可用功能的相關說明,請參閱下方的修改組態規則。
修改組態規則
事件檢視器會在 應用程式控制 控制台之外的個別視窗中執行。這可讓使用者將項目從檢視器拖曳 (或複製及貼上) 至控制台,並立即修改或建立需要的規則。
您可以拖放或複製及貼上列出的事件以對以下所列建立「檔案路徑」、「檔案名稱」、「資料夾」或「檔案雜湊規則項目」:
•規則集合
•規則集 > 可執行檔控制項 > 允許/拒絕
•規則集 > 權限管理 > 應用程式/自我提升權限
已執行您的查詢並檢視結果:
1.開啟 應用程式控制 控制台,然後在「組態」導覽窗格中展開規則,並選取所需的組態規則。
2.在「事件檢視器」對話方塊中,選取所需的事件並將項目複製或拖曳至組態對話方塊。
請注意,您可以選取多個事件並將其新增至組態中。
3.「選取規則項目類型」對話方塊隨即顯示。
選取所需的規則類型:
•檔案路徑 - 從事件 ID 複製完整的檔案路徑。套用至檔案規則。
•檔案名稱 - 從事件 ID 複製檔案名稱。套用至檔案規則。
•資料夾 - 從事件 ID 複製資料夾名稱和路徑。套用至資料夾規則。
•檔案雜湊 - 從事件 ID 複製檔案雜湊。套用至簽章規則。
4.規則項目隨即新增至組態中。
5.若新增的項目是檔案或資料夾,您可以檢視和/或編輯其屬性和中繼資料以確保完整性。
按兩下新增的項目以開啟「編輯」對話方塊,或用滑鼠右鍵按一下項目並選取編輯。
請注意,依預設系統不會為透過事件檢視器新增的項目啟用中繼資料。請按一下「編輯」對話方塊中的「中繼資料」索引標籤,並選取所需資料的核取方塊。隨即顯示相關的資料。如需詳細資訊,請參閱中繼資料。
使用事件檢視器修改組態 - 範例:
新增允許的項目
您可以使用事件檢視器識別已經過許多使用者允許的檔案週期性事件,而您想要讓所有使用者都可使用該事件:
1.開啟 應用程式控制 控制台,然後在「組態」導覽窗格中選取所有人 > 允許的項目。
2.在「事件檢視器」對話方塊中,選取所需的事件並將項目複製或拖曳至組態對話方塊。
3.「選取規則項目類型」對話方塊隨即顯示。
在我們的範例中,我們可以選擇檔案路徑。
4.已新增規則項目。
新增應用程式特定使用者權限
您使用權限搜尋檢視執行事件檢視器查詢,且傳回的結果顯示特定 Microsoft 有大量應用程式已藉由提高權限啟動事件 (ID 9062),而您決定隨之變更使用者權限。
1.開啟 應用程式控制 控制台,然後在「組態」導覽窗格中選取所有人 > 使用者權限,並檢視「應用程式」索引標籤。
2.在「事件檢視器」對話方塊中,選取所需的事件並將項目複製或拖曳至組態的「應用程式」索引標籤中。
3.「選取規則項目類型」對話方塊隨即顯示。
在此範例中,我們可以選擇檔案名稱 - 或資料夾名稱以指定位於特定位置上的檔案。
4.已新增規則項目。
5.按兩下項目。在「編輯」對話方塊中,按一下「中繼資料」索引標籤。
6.選取產品名稱和廠商旁邊的核取方塊。
隨即顯示這些欄位的值。
7.在啟用「產品名稱」和「廠商」欄位時,只會允許執行符合中繼資料值的應用程式。任何其他具有相似名稱的檔案都會遭到封鎖。
結果內容功能表
在欄標頭上按一下滑鼠右鍵以顯示內容功能表。功能表會列出一些額外動作。
動作
•遞增排序: 在選定的欄位上以遞增順序排序。
•遞減排序: 在選定的欄位上以遞減順序排序。
•清除排序: 清除目前對欄設定的遞增或遞減排序準則。
•依此欄分組: 使用所選欄中的資料將清單分組。會針對各個可用的欄值建立一個可展開式清單。
若您在任何後續欄中執行此動作,該資料將在可展開式清單內,以更低層級的巢狀群組方式呈現。
若啟用了顯示群組面板,這將會在欄標頭上方區域內,立即顯示「分組依據」方塊。
提示: 若要關閉依此欄分組功能並還原至原始檢視: 請啟用顯示群組面板。以滑鼠右鍵按一下各個分組依據方塊並選取取消分組。然後以滑鼠右鍵按一下欄標頭,接著選取隱藏群組面板。
•顯示群組面板/隱藏群組面板: 在欄標頭上方,立即顯示或隱藏包含「分組依據」方塊的區域。針對各個欄標頭中目前已啟用依此欄分組的項目,將會顯示一個「分組依據」方塊。您也可以將欄標頭拖曳至及拖離此區域。
該表將會依據方塊中的資料進行分組。若有兩個以上的方塊,則會以巢狀方式分組,最左側方塊代表著最高層級,而第二個方塊即表示第二層級,依此類推。
•顯示欄選擇器: 可讓您在格線內新增及隱藏資訊。當您選取顯示欄選擇器時,即會顯示欄選擇器對話方塊。此對話方塊用來指定您想在格線內顯示哪些可用的欄。若您點選並拖曳清單中的項目到對話方塊內的新位置,則格線內的欄將會重新排序以對應此情況。
•自動調整: 重新調整所選欄的寬度大小,這樣就能以最適空間大小顯示標頭文字。
•自動調整 (所有欄): 重新調整表格中所有欄的寬度大小,這樣就能以最適空間大小顯示標頭文字。
•篩選器編輯器: 篩選器編輯器對話方塊將會顯示欄標頭內目前使用中的任何進階篩選器。您可以使用編輯器來修改現有篩選器準則,以及使用可用的篩選器條件及邏輯運算子來建置新條件。