Ereignisanzeige
In diesem Abschnitt werden folgende Themen behandelt:
Video zum Thema ansehen (10:12)
Wechseln Sie zum Starten des Dialogfelds "Ereignisse" zum Menü Ansicht und wählen Sie Application Control-Ereignisse aus. Alternativ können Sie die Option Ereignisse anzeigen im Application Control-Konfigurationseditor verwenden.
Ereignisdaten werden immer dann abgefragt, wenn die Computer in den Intervallen einchecken, die in den allgemeinen Einstellungen der Agentrichtlinie festgelegt sind. Wenn Sie die Daten vorher abrufen möchten, wechseln Sie zu Ansicht > Computer, markieren Sie die Computer, klicken Sie mit der rechten Maustaste und wählen Sie Application Control > Ereignisse abrufen aus. Dadurch wird der Abruf sofort gestartet.
Im Dialogfeld Ereignisse anzeigen werden alle Application Control-Ereignisse angezeigt, die im Application Control-Konfigurationseditor unter Ereignisse > Auswahl/Filterung eingerichtet wurden.
Mithilfe dieser Ansicht können Sie Abfragen zu bestimmten ausgelösten Prüfereignissen für Application Control ausführen.
Ansichtsabfragen
Sie können Abfragen zu den folgenden vordefinierten Ereignissen durchführen oder benutzerdefinierte Abfragen erstellen:
- Alle Ereignistypen
- Verweigerte ausführbare Dateien
- Zulässige ausführbare Dateien
- Selbstautorisierung
- Berechtigungsverwaltung
- Berechtigungsermittlung
- Self-Elevation
- Browser-Kontrolle
Abfrage ausführen – Wählen Sie diese Option aus, um die Abfrage auszuführen. Falls "Ansicht", "Filter" oder "Enthaltene Dateitypen" geändert wurden, müssen Sie die Abfrage erneut ausführen, um die Ergebnisse zu aktualisieren.
Nach dem Abschluss der Abfrage können Sie die Ansicht individuell anpassen und die Ereignisse gruppieren, filtern oder sortieren. Die Ergebnisse können anschließend in das CSV-Format exportiert werden.
Die Ansicht kann auf verschiedene Weise angepasst werden:
- Wenden Sie Filter an, um nach Ereignissen zu suchen.
- Verwenden Sie Suchen, um nur diejenigen Ereignisse anzuzeigen, die den Suchkriterien entsprechen.
- Die Reihenfolge der Spalten ändern, indem Sie auf die Spaltenüberschriften klicken und sie an eine andere Position ziehen.
- Innerhalb einer Spaltenüberschrift klicken, um die Spalten in aufsteigender oder absteigenden Reihenfolge zu sortieren.
- Wenden Sie erweiterte Filter auf eine oder mehrere Spaltenüberschriften an. Bewegen Sie den Mauszeiger über eine Spaltenüberschrift und klicken Sie auf das Filtersymbol in der oberen rechten Ecke.
Speichern – Wählen Sie diese Option aus, um Änderungen zu speichern, die Sie an einer benutzerdefinierten Abfrage vorgenommen haben.
Speichern unter – Sie müssen zuerst Abfrage ausführen auswählen, damit die Option Speichern unter aktiviert wird. Wählen Sie diese Option aus, um die Ergebnisse als neue benutzerdefinierte Abfrage zu speichern. Geben Sie einen Namen für die Abfrage ein. Dieser wird dann in der Dropdown-Liste "Ansicht" aufgeführt.
Verwalten – Wählen Sie diese Option aus, um eine Liste aller benutzerdefinierten Abfragen anzuzeigen. In dieser Liste können Sie Abfragen umbenennen oder löschen.
Enthaltene Ereignistypen
Die verfügbaren Ereignistypen sind davon abhängig, welche Ansicht ausgewählt wurde.
Eine vollständige Liste der Ereignisse für Application Control finden Sie unter Verfügbare Ereignisse.
Wenn Sie eine benutzerdefinierte Ansicht auswählen, können Sie festlegen, welche Ereignisse enthalten sein sollen. Wählen Sie Ändern aus, um das Dialogfeld für die Auswahl aufzurufen.
Wenn Sie die zu berücksichtigenden Ereignistypen geändert haben, denken Sie daran, zum Aktualisieren erneut auf Abfrage ausführen zu klicken.
Filter
Sie können die Abfrage anhand der folgenden Optionen modifizieren:
- Zeitraum – Wählen Sie einen voreingestellten Zeitraum aus: 10 Minuten, 1 Stunde, 6 Stunden, 24 Stunden, Woche oder Monat. Sie können auch einen benutzerdefinierten Zeitraum erstellen.
- Benutzer – Zeigen Sie nur Ereignisse in Bezug auf den angegebenen Benutzer an.
- Computer – Zeigen Sie nur Ereignisse an, die auf dem angegebenen Computer oder Client ausgelöst wurden.
- Nur Übersicht – Diese Option gilt nur für die Ansichten "Verweigerte ausführbare Dateien" und "Zulässige ausführbare Dateien". Falls ausgewählt, werden die Ergebnisse nach Dateipfad und Ereignis-ID zusammengefasst.
Klicken Sie erneut auf Abfrage ausführen, falls Sie einen der Filter aktualisiert haben.
Suchen
Um eine Suche zu starten, geben Sie den zu suchenden Text ein und klicken dann auf Suchen. Es werden nur diejenigen Ereignisse angezeigt, die den Suchkriterien entsprechen. Alle anderen Ereignisse werden ausgeblendet.
Tipps für die Verwendung des Suchtools
- Das Suchtool wird nur auf die Informationen angewendet, die derzeit sichtbar sind. Sie können mit der rechten Maustaste auf die Spaltenüberschriften klicken, um zu durchsuchende Spalten hinzuzufügen oder zu entfernen.
- Falls ein Filter angewendet wird, werden nur Aktualisierungen angezeigt, die sowohl den Suchkriterien als auch den Filterkriterien entsprechen.
- Alle teilweisen Übereinstimmungen werden angezeigt.
- Bei der Suche wird nicht zwischen Groß- und Kleinschreibung unterschieden.
- Platzhalter dürfen nicht verwendet werden.
- Um die Suchkriterien zu löschen, klicken Sie auf das Symbol
rechts neben dem Suchfeld.
Falls das Suchfeld nicht sichtbar ist, klicken Sie mit der rechten Maustaste in der Ergebnisansicht auf eine Spaltenüberschrift und wählen Sie aus dem Kontextmenü die Option Suchbereich anzeigen aus.
Ergebnisse
Die Abfrageergebnisse werden im unteren Bereich angezeigt, nachdem Sie Abfrage ausführen ausgewählt haben.
Die aufgeführten Ereignisse können per Drag & Drop verschoben oder kopiert und eingefügt werden. Auf diese Weise lassen sich Regelelemente vom Typ Dateipfad, Dateiname, Ordner oder Datei-Hash für Folgendes erstellen:
- Regelsammlungen
- Regelsätze >Kontrolle ausführbarer Dateien > Zulässig/Verweigert
- Regelsätze > Berechtigungsverwaltung > Anwendungen/Self-Elevation
Beispiel:
- Wechseln Sie im Application Control-Konfigurationseditor an die Stelle, an der Sie das Regelelement erstellen möchten. Zum Beispiel zu Regelsätze > Jeder > Kontrolle ausführbarer Dateien > Zulässig.
- Wählen Sie die gewünschten Ereignisse im Dialogfeld "Ereignisanzeige" aus und kopieren bzw. ziehen Sie sie zurück in das Dialogfeld "Zulässig".
- Legen Sie die Elemente ab, bzw. fügen Sie sie ein, um das Dialogfeld "Regelelementtyp auswählen" anzuzeigen.
- Wählen Sie aus, welchen Elementtyp Sie erstellen möchten: Dateipfad, Dateiname, Ordner oder Datei-Hash.
- Die Regelelemente werden hinzugefügt.
Daten exportieren – Wählen Sie diese Option aus, um die aktuelle Ansicht in das CSV-Format zu exportieren. Sie können entweder nur die ausgewählten Spalten oder alle Spalten exportieren.
Filtereditor anzeigen – Wählen Sie diese Option aus, um den Abfrageergebnissen Filter hinzuzufügen.
Spalten wählen – Wählen Sie diese Option aus, um anzupassen, welche Spalten in den Abfrageergebnissen angezeigt werden.
Kontextmenü "Ergebnisse"
Wenn Sie innerhalb einer Spaltenüberschrift mit der rechten Maustaste klicken, wird ein Kontextmenü angezeigt, über das Sie eine Reihe weiterer Aktionen durchführen können.
Aktionen
- Aufsteigend sortieren: Sortiert die ausgewählte Spalte in aufsteigender Reihenfolge.
- Absteigend sortieren: Sortiert die ausgewählte Spalte in absteigender Reihenfolge.
- Sortierung löschen: Löscht die für eine Spalte derzeit festgelegte, aufsteigende oder absteigende Sortierfolge.
- Nach dieser Spalte gruppieren: Gruppiert die Liste auf Basis der Daten in der ausgewählten Spalte. Für jeden möglichen Spaltenwert wird eine erweiterbare Liste erstellt.
- Gruppenbereich einblenden/Gruppenbereich ausblenden: Je nach Option wird unmittelbar über den Spaltenüberschriften ein Bereich angezeigt bzw. ausgeblendet, in dem Felder vom Typ „Gruppieren nach“ enthalten sind. Das Feld „Gruppieren nach“ wird für jede Spaltenüberschrift angezeigt, für die derzeit die Option Nach dieser Spalte gruppieren aktiviert ist. Sie können Spaltenüberschriften auch durch Ziehen zu dem Bereich hinzufügen oder aus ihm entfernen.
- Spaltenauswahl anzeigen: Mithilfe dieser Option können Sie Informationen innerhalb des Rasters hinzufügen oder ausblenden. Wenn Sie Spaltenauswahl anzeigen auswählen, wird das Dialogfeld Spaltenauswahl angezeigt. In diesem Dialogfeld legen Sie fest, wie viele Spalten im Raster angezeigt werden. Wenn Sie einen Eintrag in der Liste anklicken und an eine andere Position im Dialogfeld ziehen, werden die Spalten des Rasters entsprechend umsortiert.
- Optimiert: Die Breite der ausgewählten Spalte wurde so angepasst, dass der Text der Überschrift in einem optimal dimensionierten Raum angezeigt wird.
- Größe anpassen (alle Spalten): Passt die Breite aller Spalten in der Tabelle so an, dass der angezeigte Text der Überschrift den optimalen Platz einnimmt.
- Filtereditor: Im Dialogfeld Filtereditor werden alle derzeit in den Spaltenüberschriften aktiven, erweiterten Filter angezeigt. Mithilfe des Editors können Sie die vorhandenen Filterkriterien ändern und neue Kriterien anhand der verfügbaren Filterbedingungen und logischen Operatoren erstellen.
Wenn Sie diese Aktion für nachfolgende Spalten durchführen, werden die Daten auf immer niedrigeren Ebenen innerhalb der erweiterbaren Listen als verschachtelte Gruppen angezeigt.
Wenn die Option Gruppenbereich einblenden aktiviert ist, wird unmittelbar über den Spaltenüberschriften ein Bereich mit Feldern vom Typ „Gruppieren nach“ angezeigt.
Tipp: Um die Funktion Nach dieser Spalte gruppieren zu deaktivieren und zur ursprünglichen Ansicht zurückzukehren, aktivieren Sie die Option Gruppenbereich einblenden, klicken Sie mit der rechten Maustaste auf die einzelnen Felder vom Typ Gruppieren nach und wählen Sie Gruppierung aufheben aus. Klicken Sie anschließend mit der rechten Maustaste auf die Spaltenüberschrift und wählen Sie Gruppenbereich ausblenden aus.
Die Tabelle wird entsprechend der im Feld enthaltenen Daten gruppiert. Wenn mindestens zwei Felder vorhanden sind, wird die Gruppierung verschachtelt. Dabei wird das Feld ganz links an oberster Ebene angeordnet, das zweite Feld auf der zweiten Ebene usw.