Eventos do controle de aplicativos
Nesta seção:
Opções de evento
O recurso Eventos de Configuração do Controle de Aplicativos permite a você acionar eventos e definir regras para capturar de informações de auditoria, além de incluir um filtro para a especificação dos eventos a serem capturados no log.
- Capturar centralmente - selecione para capturar centralmente as informações de evento.
- Capturar localmente - Selecione para capturar localmente as informações de evento.
- Enviar eventos ao log de eventos - selecione se os eventos serão enviados ao aplicativo ou ao log de eventos do Ivanti.
- Enviar eventos ao arquivo de log local - selecione se os eventos serão enviados ao log de arquivos local, o caminho padrão é %SYSTEMDRIVE%\IvantiLogs\Auditing\ApplicationControlEvents_%COMPUTERNAME%.xml. Como alternativa, você pode especificar um caminho diferente e escolher entre os formatos xml e csv.
- Anonimizar
- Sempre usar o nome anônimo da MÁQUINA em eventos – selecione para omitir o nome da máquina em todos os eventos.
- Sempre usar o nome anônimo do USUÁRIO em eventos – selecione para omitir o nome do usuário em todos os eventos. O log anônimo também pesquisa o caminho de arquivo para todas as instâncias em que o diretório corresponda ao nome de usuário e substitui o nome do diretório pela cadeia de caracteres.
Se você escolher usar o log central de eventos, é recomendável usar a manutenção agendada do banco de dados para ajudar a evitar que os registros dos eventos fiquem grandes demais. Para obter detalhes sobre a manutenção de eventos no AC, consulteManutenção do Banco de Dados.
Seleção de eventos
Seleção de Eventos lista todos os eventos doControle de Aplicativos. Selecione os eventos que deseja capturar.
Eventos disponíveis
| ID do evento | Nome do evento | Descrição do evento |
|---|---|---|
| 9000 | Execução negada | Uma solicitação para executar um arquivo foi negada. |
| 9001 | Execução permitida | Uma solicitação para executar um arquivo foi permitida. Uma única solicitação de aplicativo pode gerar vários eventos 9001, devido ao modo como o Windows responde à execução de solicitações. Portanto, é recomendável usar o evento 9015 para avaliar com precisão quantas vezes o usuário executou um aplicativo. |
| 9002 | Proprietário alterado na substituição | Um arquivo executável permitido foi substituído. O proprietário do arquivo passou a ser o nome do usuário que o renomeou. |
| 9003 | Proprietário alterado na renomeação | Um arquivo executável permitido foi renomeado. O proprietário do arquivo passou a ser o nome do usuário que o renomeou. |
| 9004 | Negação por limite de aplicativo | Uma solicitação para executar um aplicativo foi negada porque o número máximo configurado de instâncias já está em execução. |
| 9005 | Negação por limite de horário | Uma solicitação para executar um aplicativo foi negada porque o horário atual está fora dos horários de acesso. |
| 9006 | Autoautorização | Um usuário autoautorizou um aplicativo. |
| 9007 | Permissão autoautorizada | Uma solicitação para executar um arquivo foi permitida porque um usuário a autorizou. |
| 9009 | Tempo limite de regra em script | Um script foi executado pelo tempo máximo configurado sem ser concluído. A regra não foi aplicada. |
| 9010 | Falha da regra em script | Um erro foi encontrado durante a execução de um script. A regra não foi aplicada. |
| 9011 | Êxito da regra em script | Um script foi concluído com êxito. |
| 9015 | Aplicativo iniciado | Um aplicativo permitido começou a ser executado. Uma única solicitação de aplicativo pode gerar vários eventos 9001, devido ao modo como o Windows responde à execução de solicitações. Portanto, é recomendável usar o evento 9015 para avaliar com precisão quantas vezes o usuário executou um aplicativo. |
| 9016 | Não é possível alterar o proprietário | Ocorreu um erro ao tentar alterar o proprietário de um arquivo. |
| 9017 | Encerramento de aplicativo | Um aplicativo foi encerrado. |
| 9018 | Privilégios de usuário do aplicativo alterados | Os privilégios de usuário de um aplicativo foram alterados. |
| 9023 | Autoelevação permitida | Um usuário iniciou um aplicativo com direitos elevados (administrador integral). |
| 9024 | Redirecionamento de URL | Um navegador da web tentou acessar um URL, e o Ivanti Controle de Aplicativos o redirecionou a um URL diferente. |
| 9030 | Aplicativo elevado | Um aplicativo foi iniciado com direitos elevados (administrador integral). |
| 9055 | Início/interrupção de serviço | Um serviço foi iniciado ou interrompido. |
| 9056 | Arquivo não confiável com correspondência de metadados | Falha ao verificar o certificado de um arquivo assinado. Não houve aplicação de um item de regra correspondente ao nome do certificado. |
| 9099 | Não licenciado | Ivanti O Controle de Aplicativos não está licenciado. |
Uma única solicitação de aplicativo pode gerar vários eventos 9001, devido ao modo como o Windows responde à execução de solicitações. Portanto, é recomendável usar o evento 9015 para avaliar com precisão quantas vezes o usuário executou um aplicativo.
Os eventos 9001, 9007 e 9015 ficam desabilitados por padrão, pois podem gerar dados excessivos em pontos de extremidade atarefados. Recomendamos que esses eventos sejam usados apenas resolução de problemas e por curtos períodos de tempo.
Filtragem de eventos
A filtragem de eventos permite filtrar os tipos de arquivo a serem auditados. Isso é especialmente útil se você escolher um evento de alto volume.
A tabela de filtro de eventos pode ser acessada no diálogo Editor de Configuração do Controle de Aplicativos, em Definições de Configuração > Eventos > Filtragem no diálogo Auditoria.
A opção Habilitar filtragem de eventos está habilitada por padrão e configurada para incluir os filtros de arquivo recomendados.
Selecione ou remova os tipos de arquivo conforme desejado para cada evento listado.
Você pode adicionar novos tipos de arquivo à lista clicando com o botão direito e selecionando Adicionar.