規則分析器

在這個部分中:

關於規則分析器

標準稽核可用來追蹤未授權的應用程式使用情況,或追蹤使用者覆寫/重新命名應用程式的時間。這是一種簡單的機制,可在無互動的情況下使用及運作。例如,標準稽核機制可告知您不允許應用程式執行的時間,但不會告知原因。因此,您需要其他工具來即時分析規則基礎,並判斷允許或不允許應用程式執行的實際原因。

規則分析器會檢查託管端點以收集關於如何套用 應用程式控制 規則的資訊,並提供關於規則處理時任何不一致或不正確的詳細資訊。規則分析器提供您圖形介面,可用來進行手動疑難排解,並在公司的任何位置上即時微調 應用程式控制 組態。您需要遠端 應用程式控制 託管端點的網路連結,使規則分析器可連接至代理程式軟體並開始在本機端點上記錄。

當完成記錄時,您可以使用規則分析器以自動將網路中的記錄檔案取回至進行分析的電腦以進行調查。所有的記錄資訊都會以 XML 格式保存,且 應用程式控制 代理程式處理的每個執行要求都會列出,並詳細說明處理期間發生的情況,包括是否允許處理序執行以及產生此結果的原因。

控制台

您可以從 應用程式控制 控制台的導覽窗格存取規則分析器,並可用來建立、擷取和檢查記錄檔案。

「端點」節點可讓您控制特定託管端點的登入以擷取記錄檔案。以下每個「端點」節點皆適用於每個「擷取的記錄檔案」節點。

您可以檢視摘要頁面、檢視所有要求,或檢視特定使用者的要求。您可以限制對於已拒絕或允許之要求進行檢視。在分析面板中,您可以瀏覽至特定要求並檢視該要求的詳細資訊,包括 應用程式控制 已套用哪些規則。

您必須使用允許對於要為使用規則分析器產生日誌的任何受管端點的登錄進行讀寫存取的帳戶登入,並對於控制台所在的電腦擁有本機登錄的讀寫存取權限。

先決條件

測試是否滿足下列條件:

  1. 在「開始」功能表上,選取控制台
  2. 選取管理工具
  3. 按兩下服務
  4. 找到 應用程式控制 代理程式。
  1. 在受管端點上啟動登錄編輯程式。
  2. 在 HKLM\Software\AppSense Technologies\Licensing 下找到授權。
  1. 組態儲存在下列位置:

  2. 導覽至 C:\ProgramData\AppSense\ApplicationManager\Configuration。

    ProgramData 是隱藏的資料夾。開啟 Windows 檔案總管並於位址列中輸入 C:\ProgramData。按下 Enter 鍵開啟資料夾。

  1. 在已安裝 應用程式控制 控制台的電腦上開啟 Windows 檔案總管。
  2. 在位址列中輸入 \\<computername>\c$ 並按下 Enter 鍵。如果您可以瀏覽資料夾,則您擁有存取權限。如果沒有,則會提示您輸入允許存取的使用者認證。
  1. 在已安裝 應用程式控制 控制台的電腦上開啟登錄編輯程式。
  2. 選取檔案 > 連接網路登錄。
  3. 隨即顯示「選取電腦」對話方塊。
  4. 找到電腦,並按一下確定。如果您可以看到登錄機碼,則有存取權限。

在執行 Windows 7 及以上版本的遠端電腦上,必須啟用「檔案共享」和「遠端登錄服務」(依預設為停用) 以確保「規則分析器」可存取或建立記錄檔案:

  1. 開始 > 控制台 > 網路和共用中心中開啟檔案共用。
  2. 開始 > 控制台 > 系統管理工具 > 服務中啟動遠端登錄服務。

設定規則分析器的記錄

第一個要求是將端點新增至「規則分析器」可與之互動的端點清單中。「規則分析器」採用預設的「C$ 分享」與目標裝置上執行的代理程式通訊。

新增端點

必須先指定端點才能分析規則。

  1. 按一下規則分析器導覽按鈕。

    「規則分析器」導覽樹狀目錄隨即顯示。

  2. 在「規則分析器」功能區中,按一下新增端點並選取下列其中一項:
    • 瀏覽部署群組 -「選取管理伺服器」對話方塊隨即顯示。瀏覽至部署群組位置,並選取所需的端點。
    • 瀏覽網域/工作群組 -「添加規則分析器端點」對話方塊隨即顯示。輸入名稱或 IP 位址,或使用「電腦」欄位中的省略符號 (...) 選取所需的端點,並按一下新增
  3. 「規則分析器」導覽樹狀目錄內的端點隨即顯示。一經新增,「規則分析器」便可分析端點。
  4. 若要移除端點,請將其反白顯示,然後按一下「規則分析器」功能區上的移除端點按鈕。

開始和停止記錄

  1. 選取導覽樹狀目錄中的端點。
  2. 在「規則分析器」功能區上選取開始記錄

  3. 當需要時,例如在端點上重現問題後,在「規則分析器」功能區上選取停止記錄

    「檔案」對話方塊隨即顯示。

  4. 輸入記錄檔案的名稱,然後按一下確定
  5. XML 檔案會在導覽樹狀目錄中顯示。

「規則分析器」檔案可能會很大,因此僅在問題顯現且需要調查時,才應使用此功能。

一旦建立記錄檔案後,您便可透過選取檔案並使用「規則分析器」功能區內「匯出」和「刪除」按鈕的方式,將記錄檔案匯出或刪除。

您還能透過選取端點並於「規則分析器」功能區內按一下「匯入」的方式,匯入 XML 格式的記錄檔案。

記錄檔案

在記錄期間,指定電腦的所有記錄檔案都會儲存在本機電腦上,而且會暫時儲存在下列位置:

 C:\Documents and Settings\All Users\Application Data\AppSense\ApplicationManager\Rules Analyzer\RulesAnalyzerLog.xml.

當記錄於特定端點上停止時,該記錄檔案會關閉並傳送至目前執行「規則分析器」的電腦上,且會儲存於上述端點的快取之中。該快取位於下列位置:

C:\Documents and Settings\All Users\Application Data\AppSense\ApplicationManager\Rules Analyzer\

檔案的命名慣例為 ComputerName^enteredname
例如:
C:\DocumentsSettings\All Users\Application Data\AppSense\ApplicationManager\Rules Analyzer\APPUKTECHPUBS2^Regedit.xml

電腦名稱即是在使用者介面內輸入的端點名稱。因此,若其為 IP 位址便會儲存為 IPAddress^enteredname.xml

輸入的名稱即是在「規則分析器」中為 XML 檔案指定的名稱。

「規則分析器」控制台以多種方式顯示與執行要求相關的資訊,以簡便地存取各項詳細資訊:

當您在導覽樹狀目錄中選取記錄檔案節點時,端點摘要頁面隨即顯示。

應用程式控制 (2020.3 或更新版本) 包括可納入 (或排除) 覆寫和重新命名要求的核取方塊。

在大部分的情況中,這些要求是由 Windows 中的背景活動自動產生。

摘要會顯示 應用程式控制 處理的要求數。表格頂端列會顯示所有使用者的要求總數。其餘列則會顯示各個使用者的要求數目。「總計」欄會顯示允許及拒絕的要求總數。「已允許/已拒絕」欄會顯示允許或拒絕的要求數目。

在任一「總計」連結上按一下即可顯示「記錄檔案內容要求清單」。

若要將記錄檔案匯出為 XML 格式,請選取「規則分析器」功能區上的匯出

您可以在「摘要」頁面上選擇依處理時間檢視要求以顯示「要求清單」頁面,而該頁面會依執行時間最久的要求優先的順序顯示要求。

按一下「摘要」頁面內的「總計」連結時,「要求清單」頁面便會顯示 應用程式控制 要求的清單。

這些要求會依照 應用程式控制 處理它們時的順序列出。

每個列出的要求都會包含要求類型 (v.2020.3 及更高版本) 並顯示綠色勾號或紅色叉號,以表示要求得到允許或遭到拒絕。

按一下要求連結以顯示「記錄檔案內容要求詳細資訊」。

當您在「要求清單」頁面內按一下要求時,「要求詳細資訊」頁面便會顯示特定要求的詳細資訊。

「要求詳細資訊」頁面會顯示 應用程式控制 在處理要求時套用的各個規則。規則會依套用的順序列出。清單中最後一項規則會決定最後結果會是允許還是拒絕。規則資訊包含了在選取時會顯示快顯訊息的連結,而該訊息會提供規則項目的解釋說明。

使用頁面頂端的「返回」連結可導覽至上一頁,而使用「摘要」連結可返回「摘要」頁面。控制台工具列上的「返回」按鈕可用於瀏覽導覽樹狀目錄。

規則分析器任務

常見的規則分析器任務包括:

  • 分析記錄檔案 - 若要分析記錄檔案,請選取記錄檔案節點。分析工作區域內顯示的第一頁是摘要頁面。您可透過點選連結來導覽分析面板內部。使用頁面頂端的「返回」連結可返回上一頁。
  • 檢視特定使用者的要求 - 若要檢視特定使用者的要求,請按一下摘要頁面上表格內其中一個連結。您可以在「總計」欄內按一下以查看使用者的所有要求,而且您也可以在「已允許」或「已拒絕」欄內按一下,便可僅查看允許的或拒絕的要求。
  • 尋找花費較長時間的要求 - 若要尋找花費較長時間的要求,請按一下摘要頁面上的依處理時間檢視要求。這樣便會依執行時間最久為優先的順序顯示要求。顯示的處理時間,即 Ivanti 應用程式控制 代理程式處理要求時耗用的時間。