アプリケーション制御イベント
このセクション:
イベント オプション
アプリケーション制御 の構成イベント機能を使用すると、監査情報のキャプチャー ルールの定義とイベントの生成を行えます。また、この機能には、ログにキャプチャするイベントを指定するためのフィルタが組み込まれています。
- 中央にキャプチャする - イベント情報を中央にキャプチャする場合に選択します。
- ローカルにキャプチャする - イベント情報をローカルにキャプチャする場合に選択します。
- イベントをイベント ログに送信する - イベントをアプリケーションに送信するのか、Ivanti イベント ログに送信するのかを選択します。
- ローカル ログ ファイルにイベントを送信 - イベントをローカル ファイル ログに送信すかどうかを選択します。既定のパスは %SYSTEMDRIVE%\IvantiLogs\Auditing\ApplicationControlEvents_%COMPUTERNAME%.xml です。 または、別のパスを指定して、ファイル形式を xml と csv から選択できます。
- 匿名を使用する
- イベントには、常に匿名のコンピュータ名を使用する - すべてのイベントからコンピュータ名を省く場合に選択します。
- イベントには、常に匿名のユーザ名を使用する - すべてのイベントからユーザ名を省く場合に選択します。 匿名ログインでは、ディレクトリがユーザ名と一致しているインスタンスがないか、ファイル パスの検索も行われて、ディレクトリ名が当該文字列に置換されます。
中央のイベントロギングを使用する場合は、イベント レコードが大量になりすぎないように、スケジュールされたデータベース メンテナンスを使用することをお勧めします。 AC イベント メンテナンスの詳細については、「データベース メンテナンス」をご参照ください。
イベント選択
イベント選択には、すべての アプリケーション制御 イベントがリストされます。 キャプチャするイベントを選択します。
使用可能なイベント
| イベント ID | イベント名 | イベント説明 |
|---|---|---|
| 9000 | 拒否された実行 | ファイル実行要求が拒否されました。 |
| 9001 | 許可された実行 | ファイル実行要求が許可されました。 アプリケーションに対する1回の要求では、Windows が実行要求に対応する方法により、複数の9001イベントが生成されることがあります。 このため、イベント9015を使用して、ユーザがアプリケーションを実行した回数を正確に監査することをお勧めします。 |
| 9002 | 上書きによる所有者の変更 | 許可された実行ファイルが上書きされました。 ファイルの所有者が、ファイルを名前変更したユーザの名前に変更されました。 |
| 9003 | 名前変更による所有者の変更 | 許可された実行ファイルが名前変更されました。 ファイルの所有者が、ファイルを名前変更したユーザの名前に変更されました。 |
| 9004 | アプリケーション制限による拒否 | 最大数として構成された数のインスタンスが既に実行されているため、アプリケーションの実行要求が拒否されました。 |
| 9005 | 時間制限による拒否 | 現在時刻がアクセス時間外であるため、アプリケーションの実行要求が拒否されました。 |
| 9006 | 自己権限付与 | ユーザがアプリケーションに自己権限付与しました。 |
| 9007 | 自己権限付与による許可 | ユーザがファイルに権限を付与したため、そのファイルの実行要求が許可されました。 |
| 9009 | スクリプト化されたルールのタイムアウト | 構成された最大時間までスクリプトが実行されましたが、完了しませんでした。 ルールは適用されませんでした。 |
| 9010 | スクリプト化されたルールが失敗 | スクリプトの実行中にエラーが発生しました。 ルールは適用されませんでした。 |
| 9011 | スクリプト化されたルールが成功 | スクリプトが正常に完了しました。 |
| 9015 | アプリケーションの開始 | 許可されたアプリケーションの実行が開始されました。 アプリケーションに対する1回の要求では、Windows が実行要求に対応する方法により、複数の9001イベントが生成されることがあります。 このため、イベント9015を使用して、ユーザがアプリケーションを実行した回数を正確に監査することをお勧めします。 |
| 9016 | 所有権を変更できない | ファイルの所有者変更の試行中にエラーが発生しました。 |
| 9017 | アプリケーションの終了 | アプリケーションが終了しました。 |
| 9018 | アプリケーションのユーザ権限の変更 | アプリケーションのユーザ権限が変更されました。 |
| 9023 | 自己昇格の許可 | ユーザが昇格された (完全な管理者の) 権限を使用してアプリケーションを開始しました。 |
| 9024 | URL リダイレクト | Web ブラウザがある URL への移動を試行し、Ivanti アプリケーション制御 が別の URL にリダイレクトしました。 |
| 9030 | アプリケーションの昇格 | 昇格された (完全な管理者の) 権限を使用してアプリケーションを開始されました。 |
| 9055 | サービスの開始/停止 | サービスが開始または停止されました。 |
| 9056 | メタデータの一致による信頼できないファイル | 署名済みファイルの証明書を検証できませんでした。 証明書の名前と合致するルール項目が適用されませんでした。 |
| 9099 | ライセンスなし | Ivanti アプリケーション制御 のライセンスが交付されていません。 |
アプリケーションに対する1回の要求では、Windows が実行要求に対応する方法により、複数の9001イベントが生成されることがあります。 このため、イベント9015を使用して、ユーザがアプリケーションを実行した回数を正確に監査することをお勧めします。
9001、9007、9015 のイベントは、稼働率の高いエンドポイントでは過剰なイベント データを生成する可能性があるため、既定では無効になっています。 これらのイベントは、トラブルシューティングの目的のみで使用し、短期間だけ使用することをお勧めします。
イベント フィルタリング
イベント フィルタリングを使用すると、監査するファイル タイプをフィルタリングできます。 これは、大量のイベントを選択した場合に特に有益です。
イベント フィルタ テーブルには、アプリケーション制御 構成エディタ ダイアログで、[監査] ダイアログの [構成設定] > [イベント] > [フィルタリング] からアクセスします。
[イベント フィルタリングを有効にする] オプションは、既定で有効になっていて、推奨ファイル フィルタが含まれるように構成されています。
リストされたイベントごとに、必要に応じてファイル タイプを選択または選択解除します。
[追加] を右クリックすることで、新しいファイル タイプをリストに追加できます。