Eventos de control de aplicaciones
En esta sección:
Opciones de eventos
La función de Eventos de configuración de Control de aplicaciones le permiten definir reglas para la captura de información de auditoría y para elevar eventos, e incluye un filtro para especificar los eventos que desee capturar en el registro.
- Capturar centralmente: seleccione capturar la información de eventos centralmente.
- Capturar localmente: seleccione capturar la información de eventos localmente.
- Enviar eventos a un Registro de eventos: seleccione si se enviarán los eventos a la aplicación o al IvantiRegistro de eventos.
- Enviar eventos al archivo de registro local: seleccione si se enviarán los eventos al registro de archivos local, la ruta predeterminada es %SYSTEMDRIVE%\IvantiLogs\Auditing\ApplicationControlEvents_%COMPUTERNAME%.xml. También puede especificar una ruta diferente y elegir entre formato xml o csv.
- Anonimizar
- Usar siempre el nombre de EQUIPO anónimo en eventos: seleccionar para omitir el nombre del equipo de todos los eventos.
- Usar siempre el nombre de USUARIO anónimo en eventos: seleccionar para omitir el nombre del usuario de todos los eventos. El inicio de sesión anónimo también busca la ruta del archivo de las instancias donde el directorio coincide con el nombre del usuario y reemplaza el nombre del directorio con la cadena.
Si selecciona usar el registro de eventos central, se recomienda utilizar el mantenimiento de la base de datos programada, para ayudar a evitar que los registros de eventos sean demasiado grandes. Para obtener detalles de mantenimiento de un Evento AC, consulte Mantenimiento de la base de datos.
Selección de eventos
La Selección de eventos lista todos los eventos de Control de aplicaciones. Seleccione los eventos que desee capturar.
Eventos disponibles
| Id. del evento | Nombre del evento | Descripción de eventos |
|---|---|---|
| 9000 | Ejecución denegada | Se ha denegado una solicitud para ejecutar un archivo. |
| 9001 | Ejecución permitida | Se ha permitido una solicitud para ejecutar un archivo. Una única solicitud para una aplicación puede generar múltiples eventos de 9001 debido al modo en que Windows responde a las solicitudes de ejecución. Por lo tanto, es bueno usar el evento 9015 para auditar correctamente el número de veces que un usuario ha ejecutado una aplicación. |
| 9002 | Reemplazar el propietario cambiado | Se ha reemplazado un archivo ejecutable permitido. El propietario del archivo se ha cambiado al nombre del usuario que cambió el nombre. |
| 9003 | Cambiar el nombre del propietario cambiado | Se ha cambiado el nombre de un archivo ejecutable permitido. El propietario del archivo se ha cambiado al nombre del usuario que cambió el nombre. |
| 9004 | Denegación de límite de aplicaciones | Se ha denegado la solicitud de ejecución de una aplicación porque ya se está ejecutando el número máximo de instancias configurado. |
| 9005 | Denegación de límite de tiempo | Se ha denegado una solicitud para ejecutar una aplicación porque la hora actual está fuera de las horas de acceso. |
| 9006 | Autorización propia | Una aplicación con autorización propia. |
| 9007 | Permitir autorización propia | Se ha permitido una solicitud para ejecutar un archivo porque el usuario la ha autorizado. |
| 9009 | Regla secuenciada fuera de tiempo | Se ha ejecutado una secuencia durante el tiempo máximo configurado sin llegar a completarse. La regla no se ha aplicado. |
| 9010 | Error de regla secuenciada | Se he encontrado un error al ejecutar una secuencia. La regla no se ha aplicado. |
| 9011 | Regla secuenciada correctamente | Se ha completado correctamente una secuencia. |
| 9015 | Aplicación iniciada | Se ha iniciado la ejecución de una aplicación permitida. Una única solicitud para una aplicación puede generar múltiples eventos de 9001 debido al modo en que Windows responde a las solicitudes de ejecución. Por lo tanto, es bueno usar el evento 9015 para auditar correctamente el número de veces que un usuario ha ejecutado una aplicación. |
| 9016 | No se ha podido cambiar la propiedad | Se ha producido un error al intentar cambiar el propietario del archivo. |
| 9017 | Cancelación de la aplicación | Se ha terminado una aplicación. |
| 9018 | Han cambiado los privilegios del usuario de la aplicación | Los privilegios de usuario de la aplicación se han cambiado. |
| 9023 | Elevación propia permitida | Un usuario ha iniciado una aplicación con derechos elevados (administrador completo). |
| 9024 | Redirección de URL | Un explorador web ha intentado navegar una URL y Ivanti Control de aplicaciones lo ha redirigido a una URL distinta. |
| 9030 | Apliación elevada | Una aplicación se ha iniciado con derechos elevados (administrador completo). |
| 9055 | Iniciar/detener el servicio | Se ha iniciado o detenido un servicio |
| 9056 | Archivo sin confianza con coincidencia de metadatos | No se ha podido verificar el certificado de un archivo firmado. No se ha aplicado un elemento de regla que coincide con el nombre del certificado. |
| 9099 | Sin licencia | Ivanti Control de aplicaciones no tiene licencia. |
Una única solicitud para una aplicación puede generar múltiples eventos de 9001 debido al modo en que Windows responde a las solicitudes de ejecución. Por lo tanto, es bueno usar el evento 9015 para auditar correctamente el número de veces que un usuario ha ejecutado una aplicación.
Los eventos 9001, 9007 y 9015 se deshabilitan por defecto puesto que pueden generar datos de evento excesivos en puntos terminales ocupados. Recomendamos que estos eventos solo se usen para solucionar problemas y solo durante periodos de tiempo cortos.
Filtrado de eventos
El Filtrado de eventos le permite filtrar los tipos de archivos que desee auditar. Esto es especialmente útil si elige un evento de alto volumen.
Se accede a la tabla de filtros de eventos desde el cuadro de diálogo Editor de configuración Control de aplicaciones, en Ajustes de configuración > Eventos > Filtrado en el cuadro de diálogo Auditoría.
La opción Habilitar filtrado de eventos está activada por defecto y configurada para incluir los filtros de archivos recomendados.
Seleccione o borre los tipos de archivos tal y como se requiere para cada evento de la lista.
Puede agregar nuevos tipos de archivos a la lista haciendo clic con el botón derecho > Agregar.