Eventi di controllo applicazioni
In questa sezione:
Opzioni eventi
La funzionalità Eventi di configurazione di Controllo applicazioni consente di definire le regole per l'acquisizione di informazioni di auditing e per generare eventi, inoltre include un filtro per la specifica degli eventi che si desidera acquisire nel registro.
- Acquisisci centralmente - Selezionare per acquisire centralmente le informazioni sugli eventi.
- Acquisisci localmente - Selezionare per acquisire localmente le informazioni sull'evento.
- Invia eventi a Registro eventi - Selezionare se inviare eventi all'Applicazione o al Registro eventi di Ivanti.
- Invia eventi al file registro locale - Selezionare se inviare eventi al registro file locale, il percorso predefinito è %SYSTEMDRIVE%\IvantiLogs\Auditing\ApplicationControlEvents_%COMPUTERNAME%.xml. In alternativa, è possibile specificare un percorso diverso e scegliere tra il formato xml o csv.
- Anonimizza
- Utilizzare sempre il nome COMPUTER anonimo negli eventi - selezionare per omettere il nome computer da tutti gli eventi.
- Utilizzare sempre il nome UTENTE anonimo negli eventi - selezionare per omettere il nome utente da tutti gli eventi. La registrazione anonima ricerca nel percorso file per rilevare qualsiasi istanza in cui una directory corrisponde al nome utente e sostituisce il nome della directory con la stringa
Se si seleziona di utilizzare la registrazione eventi centrali, si raccomanda di utilizzare la manutenzione database pianificata, al fine di aiutare a prevenire che i record eventi diventino troppo grandi. Per i dettagli sulla manutenzione degli Eventi AC, vedere Manutenzione Database.
Selezione eventi
Selezione eventi elenca tutti gli eventi di Controllo applicazioni. Selezionare gli eventi che si desidera acquisire.
Eventi disponibili
| ID evento | Nome evento | Descrizione evento |
|---|---|---|
| 9000 | Esecuzione negata | Una richiesta di esecuzione di un file è stata negata. |
| 9001 | Esecuzione consentita | È stato consentita una richiesta di esecuzione di un file. Una singola richiesta per un'applicazione può generare più eventi 9001 a causa del modo in cui Windows risponde alle richieste di esecuzione. Pertanto è consigliabile utilizzare l'evento 9015 per verificare accuratamente quante volte un utente ha eseguito un'applicazione. |
| 9002 | Sovrascrivi proprietario modificato | Un file eseguibile consentito è stato sovrascritto. Il proprietario del file è stato modificato nel nome dell'utente che lo ha rinominato. |
| 9003 | Rinomina proprietario modificato | Un file eseguibile consentito è stato rinominato. Il proprietario del file è stato modificato nel nome dell'utente che lo ha rinominato. |
| 9004 | Negazione limite applicazioni | Una richiesta di esecuzione di un'applicazione è stata negata dato che il numero massimo configurato di istanze è già in esecuzione. |
| 9005 | Negazione limite temporale | Una richiesta di eseguire un'applicazione è stata negata dato che l'orario corrente è esterno agli orari di accesso. |
| 9006 | Autorizzazione automatica | Un utente ha autorizzato in automatico un'applicazione. |
| 9007 | Consenso con autorizzazione automatica | Una richiesta di eseguire un file è stata consentita dato che un utente l'ha autorizzata. |
| 9009 | Timeout regola con script | Uno script è stato eseguito per il massimo tempo di configurazione senza essere completato. La regola non è stata applicata. |
| 9010 | Regola script non riuscita | Durante l'esecuzione di uno script si è verificato un errore. La regola non è stata applicata. |
| 9011 | Successo regola con script | Uno script è stato completato correttamente. |
| 9015 | Applicazione avviata | Un'applicazione consentita è stata avviata. Una singola richiesta per un'applicazione può generare più eventi 9001 a causa del modo in cui Windows risponde alle richieste di esecuzione. Pertanto è consigliabile utilizzare l'evento 9015 per verificare accuratamente quante volte un utente ha eseguito un'applicazione. |
| 9016 | Impossibile modificare la proprietà | Si è verificato un errore durante il tentativo di modificare il proprietario di un file. |
| 9017 | Terminazione delle applicazioni | Un'applicazione è stata terminata. |
| 9018 | Privilegi utente applicazione modificati | I privilegi utente di un'applicazione sono stati modificati. |
| 9023 | Elevazione automatica consentita | Un utente ha avviato un'applicazione con diritti elevati (amministratore completo). |
| 9024 | Reindirizzamento URL | Un browser web ha cercato di navigare in un URL e Ivanti Controllo applicazioni lo ha reindirizzato a un URL diverso. |
| 9030 | Applicazione elevata | Un'applicazione è stata avviata con diritti elevati (amministratore completo). |
| 9055 | Avvio/Arresto servizio | Un servizio è stato avviato o arrestato. |
| 9056 | File non attendibile con corrispondenza metadati | Impossibile verificare il certificato di un file firmato. Un elemento di regola che corrisponde al nome del certificato non è stato applicato. |
| 9099 | Non fornito su licenza | Ivanti Controllo applicazioni non è fornito su licenza. |
Una singola richiesta per un'applicazione può generare più eventi 9001 a causa del modo in cui Windows risponde alle richieste di esecuzione. Pertanto è consigliabile utilizzare l'evento 9015 per verificare accuratamente quante volte un utente ha eseguito un'applicazione.
Gli eventi 9001, 9007 e 9015 sono disabilitati per impostazione predefinita, dato che possono generare dati eventi eccessivi su endpoint non disponibili. Consigliamo di utilizzare tali eventi solo per finalità di risoluzione dei problemi e solo per brevi periodi di tempo.
Filtro eventi
Filtro eventi consente di filtrare i tipi di file di cui si desidera eseguire l'audit. Ciò risulta particolarmente utente se si sceglie un evento dal volume elevato.
La tabella dei filtri degli eventi è accessibile dalla finestra di dialogo Editor configurazioni Controllo applicazioni, in Impostazioni configurazione > Eventi > Filtro nella finestra di dialogo Auditing.
L'opzione Abilita il filtraggio degli eventi è attivata per impostazione predefinita e configurata per includere i filtri dei file consigliati.
Selezionare o cancellare i tipi di file come richiesto per ciascun evento elencato.
È possibile aggiungere nuovi tipi di file all'elenco facendo clic con il pulsante destro del mouse > Aggiungi.