Application Control-Ereignisse
In diesem Abschnitt werden folgende Themen behandelt:
Ereignisoptionen
Mithilfe der Funktion Application Control Konfigurationsereignisse können Sie Regeln für die Erfassung von Prüfinformationen definieren und Ereignisse auslösen. Die Funktion beinhaltet einen Filter zum Festlegen der Ereignisse, die im Protokoll erfasst werden sollen.
- Zentral erfassen – Wählen Sie diese Option aus, um die Ereignisinformationen zentral zu erfassen.
- Lokal erfassen – Wählen Sie diese Option aus, um die Ereignisinformationen lokal zu erfassen.
- Ereignisse an Ereignisprotokoll senden – Wählen Sie aus, ob die Ereignisse an das Anwendungsprotokoll oder an das Ivanti-Ereignisprotokoll gesendet werden sollen.
- Ereignisse an lokale Protokolldatei senden – Wählen Sie aus, ob die Ereignisse an das lokale Ereignisprotokoll gesendet werden sollen. Der Standardpfad ist "%SYSTEMDRIVE%\IvantiLogs\Auditing\ApplicationControlEvents_%COMPUTERNAME%.xml". Alternativ können Sie einen anderen Pfad angeben sowie zwischen den Formaten XML und CSV wählen.
- Anonymisieren
- In Ereignissen immer anonyme Namen für COMPUTER verwenden – Hiermit legen Sie fest, dass der Computername in allen Ereignissen weggelassen werden soll.
- In Ereignissen immer anonyme Namen für BENUTZER verwenden – Hiermit legen Sie fest, dass der Benutzername in allen Ereignissen weggelassen werden soll. Bei der anonymisierten Protokollierung wird der Dateipfad auch nach Instanzen durchsucht, bei denen Verzeichnis und Benutzername übereinstimmen. Dabei wird der Verzeichnisname durch die Zeichenfolge ersetzt.
Falls Sie sich für die zentrale Ereignisprotokollierung entscheiden, sollten Sie die geplante Datenbankwartung verwenden, um zu verhindern, dass die Ereignisdatensätze zu groß werden. Einzelheiten zur Ereigniswartung in Application Control finden Sie unter Datenbankwartung.
Ereignisauswahl
In der Ereignisauswahl sind alle Application Control-Ereignisse aufgeführt. Wählen Sie die Ereignisse aus, die Sie erfassen möchten.
Verfügbare Ereignisse
Ereignis-ID | Ereignisname | Ereignisbeschreibung |
---|---|---|
9000 | Verweigerte Ausführung | Eine Anforderung zum Ausführen einer Datei wurde verweigert. |
9001 | Zulässige Ausführung | Eine Anforderung zum Ausführen einer Datei wurde zugelassen. Eine einzige Anforderung für eine Anwendung kann mehrere 9001-Ereignisse generieren. Dies liegt an der Art und Weise, in der Windows auf Ausführungsanforderungen reagiert. Es bietet sich daher an, mittels Ereignis 9015 genau zu prüfen, wie oft ein Benutzer eine Anwendung ausgeführt hat. |
9002 | Besitzer nach Überschreiben geändert | Eine zulässige ausführbare Datei wurde überschrieben. Der Besitzer der Datei wurde in den Namen des Benutzers geändert, der die Datei umbenannt hat. |
9003 | Besitzer nach Umbenennen geändert | Eine zulässige ausführbare Datei wurde umbenannt. Der Besitzer der Datei wurde in den Namen des Benutzers geändert, der die Datei umbenannt hat. |
9004 | Verweigert wegen Anwendungslimit | Eine Anforderung zum Ausführen einer Anwendung wurde verweigert, da die konfigurierte Höchstzahl der Instanzen bereits ausgeführt wird. |
9005 | Verweigert wegen Zeitlimit | Eine Anforderung zum Ausführen einer Anwendung wurde verweigert, da die aktuelle Uhrzeit außerhalb der Zugriffszeit liegt. |
9006 | Selbstautorisierung | Ein Benutzer hat eine Anwendung selbst autorisiert. |
9007 | Zulassen nach Selbstautorisierung | Eine Anforderung zum Ausführen einer Datei wurde zugelassen, weil ein Benutzer die Datei autorisiert hat. |
9009 | Timeout bei Skriptregel | Ein Skript wurde für die maximal konfigurierte Dauer ausgeführt, wurde jedoch nicht abgeschlossen. Die Regel wurde nicht angewandt. |
9010 | Skriptregel fehlgeschlagen | Beim Ausführen eines Skriptes ist ein Fehler aufgetreten. Die Regel wurde nicht angewandt. |
9011 | Skriptregel erfolgreich | Ein Skript wurde erfolgreich abgeschlossen. |
9015 | Anwendung gestartet | Eine zulässige Anwendung wurde gestartet. Eine einzige Anforderung für eine Anwendung kann mehrere 9001-Ereignisse generieren. Dies liegt an der Art und Weise, in der Windows auf Ausführungsanforderungen reagiert. Es bietet sich daher an, mittels Ereignis 9015 genau zu prüfen, wie oft ein Benutzer eine Anwendung ausgeführt hat. |
9016 | Besitzer kann nicht geändert werden. | Beim Versuch, den Besitzer einer Datei zu ändern, ist ein Fehler aufgetreten. |
9017 | Beenden der Anwendung | Eine Anwendung wurde beendet. |
9018 | Benutzerrechte für Anwendung geändert | Die Benutzerrechte für eine Anwendung wurden geändert. |
9023 | Self-Elevation zulässig | Ein Benutzer hat eine Anwendung mit erweiterten Rechten (vollständige Administratorrechte) gestartet. |
9024 | URL-Umleitung | Ein Webbrowser hat eine URL angesteuert und wurde von Ivanti Application Control zu einer anderen URL umgeleitet. |
9030 | Anwendung erweitert | Eine Anwendung wurde mit erweiterten Rechten (vollständige Administratorrechte) gestartet. |
9055 | Dienst Start/Stopp | Ein Dienst wurde gestartet oder gestoppt. |
9056 | Nicht vertrauenswürdige Datei mit übereinstimmenden Metadaten | Zertifikat einer signierten Datei konnte nicht verifiziert werden. Ein mit dem Namen des Zertifikats übereinstimmendes Regelelement wurde nicht angewandt. |
9099 | Nicht lizenziert | Ivanti Application Control ist nicht lizenziert. |
Eine einzige Anforderung für eine Anwendung kann mehrere 9001-Ereignisse generieren. Dies liegt an der Art und Weise, in der Windows auf Ausführungsanforderungen reagiert. Es bietet sich daher an, mittels Ereignis 9015 genau zu prüfen, wie oft ein Benutzer eine Anwendung ausgeführt hat.
Die Ereignisse 9001, 9007 und 9015 sind standardmäßig deaktiviert, da sie auf frequentierten Endpunkten zu einem hohen Volumen an Ereignisdaten führen können. Es wird empfohlen, diese Ereignisse nur für Fehlerbehebungszwecke und nur für einen kurzen Zeitraum zu verwenden.
Ereignisfilterung
Mithilfe der Ereignisfilterung können Sie die zu prüfenden Dateitypen filtern. Dies bietet sich vor allem bei Ereignissen mit hohem Dateivolumen an.
Die Ereignisfiltertabelle können Sie im Dialogfeld "Konfigurationseditor" von Application Control unter Konfigurationseinstellungen > Ereignisse > Filterung im Dialogfeld "Prüfung" aufrufen.
Die Option Ereignisfilterung aktivieren ist standardmäßig ausgewählt und so konfiguriert, dass die empfohlenen Dateifilter bereits enthalten sind.
Aktivieren oder deaktivieren Sie die Dateitypen für jedes aufgeführte Ereignis nach Bedarf.
Sie können neue Dateitypen zur Liste hinzufügen, indem Sie mit der rechten Maustaste klicken und dann > Hinzufügen auswählen.