Événements Application Control
Dans cette section :
Options d'événement
La fonction Événements de configuration Contrôle des applications vous permet de définir des règles pour la capture des informations d'audit et de générer des événements. Elle inclut un filtre permettant de spécifier les événements à capturer dans le journal.
- Capture centralisée - Sélectionnez cette option pour capturer les informations d'événement de manière centralisée.
- Capture locale - Sélectionnez cette option pour capturer les informations d'événement en local.
- Envoyer les événements au journal des événements - Indiquez si les événements doivent être envoyés au journal des applications ou au journal des événements Ivanti.
- Envoyer les événements au fichier journal local - Indiquez si les événements doivent être envoyés au fichier journal local, dont le chemin par défaut est %SYSTEMDRIVE%\IvantiLogs\Auditing\ApplicationControlEvents_%COMPUTERNAME%.xml. Vous pouvez aussi indiquer un autre chemin, et choisir le format XML ou CSV.
- Rendre anonyme
- Toujours utiliser le nom anonyme MACHINE dans les événements - Sélectionnez cette option pour omettre le nom réel de la machine dans tous les événements.
- Toujours utiliser le nom anonyme UTILISATEUR dans les événements - Sélectionnez cette option pour omettre le nom réel de l'utilisateur dans tous les événements. La journalisation anonyme recherche également dans le chemin de fichier toutes les instances où le nom du répertoire est identique au nom d'utilisateur et remplace le nom du répertoire par la chaîne
Si vous choisissez d'utiliser la journalisation centralisée des événements, il est recommandé d'utiliser la maintenance planifiée de la base de données pour éviter que les enregistrements d'événement ne deviennent trop volumineux. Pour en savoir plus sur la maintenance des événements de contrôle des applications (AC), reportez-vous à « Maintenance de la base de données ».
Sélection d'événements
La section Sélection d'événements répertorie tous les événements Contrôle des applications. Sélectionnez les événements à capturer.
Événements disponibles
| ID d'événement | Nom d'événement | Description de l'événement |
|---|---|---|
| 9000 | Exécution refusée | Une demande d'exécution de fichier a été refusée. |
| 9001 | Exécution autorisée | Une demande d'exécution de fichier a été autorisée. Une même demande d'application peut générer plusieurs événements 9001 en raison de la façon dont Windows répond aux demandes d'exécution. Ainsi, il est recommandé d'utiliser l'événement 9015 pour un audit précis du nombre de fois où un utilisateur a exécuté une application. |
| 9002 | Écrasé, propriétaire changé | Un fichier exécutable autorisé a été écrasé. Le propriétaire du fichier a été remplacé par le nom de l'utilisateur qui a renommé ce fichier. |
| 9003 | Renommé, propriétaire changé | Un fichier exécutable autorisé a été renommé. Le propriétaire du fichier a été remplacé par le nom de l'utilisateur qui a renommé ce fichier. |
| 9004 | Refus car limite d'application | Une demande d'exécution d'application a été refusée parce que le nombre maximal d'instances en cours d'exécution configuré a déjà été atteint. |
| 9005 | Refus car limite d'horaire | Une demande d'exécution d'application a été refusée parce que l'heure actuelle est hors des horaires d'accès. |
| 9006 | Auto-autorisation | Un utilisateur a auto-autorisé une application. |
| 9007 | Auto-autorisation, Autoriser | Une demande d'exécution de fichier a été autorisée parce qu'un utilisateur l'a autorisée. |
| 9009 | Délai de règle scriptée écoulé | Un script s'est exécuté pendant la durée maximale configurée sans se terminer. La règle n'a pas été appliquée. |
| 9010 | Échec de la règle scriptée | Erreur lors de l'exécution d'un script. La règle n'a pas été appliquée. |
| 9011 | Succès de la règle scriptée | Un script s'est exécuté avec succès. |
| 9015 | Application démarrée | Une application autorisée a commencé à s'exécuter. Une même demande d'application peut générer plusieurs événements 9001 en raison de la façon dont Windows répond aux demandes d'exécution. Ainsi, il est recommandé d'utiliser l'événement 9015 pour un audit précis du nombre de fois où un utilisateur a exécuté une application. |
| 9016 | Impossible de changer de propriétaire | Erreur lors de la tentative de changement du propriétaire d'un fichier. |
| 9017 | Arrêt d'application | Une application a été arrêtée. |
| 9018 | Privilèges utilisateur de l'application changés | Les privilèges utilisateur de l'application ont changé. |
| 9023 | Auto-élévation autorisée | Un utilisateur a démarré une application avec des droits élevés (droits Administrateur complets). |
| 9024 | Redirection d'URL | Un navigateur Web a tenté d'accéder à une URL et Ivanti Contrôle des applications l'a redirigé vers une autre URL. |
| 9030 | Application élevée | Une application a démarré avec des droits élevés (droits Administrateur complets). |
| 9055 | Démarrage/Arrêt de service | Un service a été démarré ou arrêté. |
| 9056 | Fichier non De confiance avec correspondance de métadonnées | Impossible de vérifier le certificat d'un fichier signé. Un élément de règle correspondant au nom du certificat n'a pas été appliqué. |
| 9099 | Sans licence | Ivanti Contrôle des applications n'a pas de licence. |
Une même demande d'application peut générer plusieurs événements 9001 en raison de la façon dont Windows répond aux demandes d'exécution. Ainsi, il est recommandé d'utiliser l'événement 9015 pour un audit précis du nombre de fois où un utilisateur a exécuté une application.
Par défaut, les événements 9001, 9007 et 9015 sont désactivés, car ils peuvent générer une quantité excessive de données d'événement sur les postes client très actifs. Il est recommandé de n'utiliser ces événements que pour le dépannage et uniquement pendant de brèves périodes.
Filtrage des événements
Le filtrage des événements vous permet de filtrer les types de fichier à auditer. Cela s'avère particulièrement utile si vous gérez un événement à fort volume.
La table Filtre d'événements est disponible dans la boîte de dialogue Éditeur de configuration Contrôle des applications, sous Paramètres de configuration > Événements > Filtrage dans la boîte de dialogue Audit.
L'option Activer le filtrage des événements est activée par défaut et configurée pour inclure les filtres de fichiers recommandés.
Sélectionnez ou désélectionnez les types de fichier selon vos besoins pour chaque événement de la liste.
Vous pouvez ajouter de nouveaux types de fichier à la liste en cliquant avec le bouton droit et en choisissant Ajouter.