Visualizador de eventos

Nesta seção:

Assista a um vídeo relacionado (10:12)

Para abrir o diálogo Eventos, navegue até o menu Exibir e selecione Eventos doControle de Aplicativos. Como alternativa, selecione Exibir Eventos no Editor de Configuração do Controle de Aplicativos.

Os dados de eventos serão coletados quando a máquina fizer check-in segundo os intervalos especificados nas Configurações Gerais da Política do Agente. Se você quiser coletar os dados antes de o check-in ocorrer, acesse Exibir > Máquinas, destaque as máquinas, clique com o botão direito, selecione Controle de Aplicativos > Recuperar Eventos, e isso executará o trabalho imediatamente.

O diálogo Exibir Eventos mostra todos os eventos do Controle de Aplicativos conforme configurados em Editor de Configuração do Controle de Aplicativos > Eventos > Seleção/Filtragem.

Use essa exibição para executar consultas sobre eventos de auditoria específicos do Controle de Aplicativos.

Exibir consultas

Você pode consultar os seguintes eventos predefinidos ou criar consultas personalizadas:

  • Todos os tipos de evento
  • Executáveis negados
  • Executáveis permitidos
  • Autoautorização
  • Gerenciamento de Privilégios
  • Descoberta de privilégios
  • Autoelevação
  • Controle de navegador

Executar consulta - selecione para executar a consulta. Se a exibição, os filtros ou os tipos de evento incluídos forem alterados, será necessário executar novamente a consulta para atualizar os resultados.

Após executar a consulta, você pode ajustar a exibição para agrupar, filtrar ou classificar os eventos, e os resultados podem ser exportados em formato CSV.

Existem várias maneiras de personalizar a exibição:

  • Aplicar filtros para pesquisar eventos.
  • Usar a Pesquisar para exibir apenas eventos correspondentes aos critérios de busca.
  • Reordenar as colunas clicando nos cabeçalhos delas e arrastando-os para um novo local.
  • Clicar no cabeçalho da coluna para classificá-la em ordem crescente ou decrescente.
  • Aplicar filtros mais avançados a um ou mais cabeçalhos de coluna. Passe o mouse sobre o cabeçalho de uma coluna e clique no ícone de filtro localizado no canto superior direito.

Salvar - selecione para salvar as alterações feitas em uma consulta personalizada.

Salvar como - você deve primeiro selecionar Executar Consulta para ativar a opção Salvar Como. Selecione para salvar os resultados como uma nova pesquisa personalizada, insira um nome para a consulta, e ele então aparecerá na lista suspensa Exibição.

Gerenciar - selecione para exibir a lista com todas as consultas personalizadas, na qual você pode selecionar para renomear ou excluir uma consulta.

Tipos de evento incluídos

Os tipos de evento disponíveis dependem de qual Exibição está selecionada.

Uma lista completa de eventos para o Controle de Aplicativos pode ser encontrada aqui: Eventos disponíveis.

Se você escolher uma exibição personalizada, poderá selecionar quais eventos serão incluídos; selecione Alterar para exibir o diálogo de seleção.

Lembre-se de que, se você alterou os tipos de eventos incluídos, precisa executar a consulta novamente.

Filtros

Você pode modificar a consulta usando as seguintes opções:

  • Intervalo de tempo - selecione um intervalo predefinido: 10 minutos, hora, 6 horas, 24 horas, semana ou mês. Você também pode criar um período de tempo personalizado.
  • Usuário - exiba apenas eventos gerados para o usuário especificado.
  • Máquina - exiba apenas eventos gerados a partir do nome de máquina ou nome de cliente especificado.
  • Apenas resumo - válido apenas para as exibições de executáveis negados e executáveis permitidos. Se selecionado, os resultados serão agrupados por caminho de arquivo e ID do evento.

Lembre-se de executar a consulta novamente se você atualizar algum filtro.

Pesquisar

Para iniciar uma pesquisa, digite o texto a ser encontrado e clique em Localizar. Apenas os eventos que correspondam aos critérios de pesquisa serão exibidos; todos os outros ficarão ocultos.

  • A ferramenta Pesquisar funciona apenas nas informações que estão atualmente visíveis. Você pode clicar com o botão direito nos cabeçalhos das colunas para adicionar ou remover as colunas a serem pesquisadas.
  • Se um filtro estiver aplicado, serão exibidas apenas as atualizações que correspondam aos critérios de pesquisa e aos critérios de filtragem.
  • Todas as correspondências parciais serão apresentadas.
  • A pesquisa não diferencia maiúsculas de minúsculas.
  • O uso de caracteres-curinga não é permitido.
  • Para limpar os critérios de busca, clique no ícone , à direita da caixa de pesquisa.

Se o campo de pesquisa não estiver disponível, clique com o botão direito no cabeçalho de uma coluna na exibição Resultados e selecione Mostrar Painel Localizar no menu de contexto.

Resultados

Quando você seleciona Executar Consulta, os resultados da consulta são exibidos no painel inferior.

Os eventos listados podem ser arrastados e soltos ou copiados e colados para criar itens de regra de caminho de arquivo, nome de arquivo ou hash de arquivo para:

  • Coleções de regras
  • Conjuntos de Regras > Controle de Executável > Permitido/Negado
  • Conjuntos de Regras > Gerenciamento de Privilégios > Aplicativos/Autoelevação
  1. No Editor de Configuração do Controle de Aplicativos, navegue até o local em que deseja criar o item de regra. Por exemplo, Conjuntos de Regras > Todos > Controle de Executável > Permitido
  2. No diálogo Visualizador de Eventos, selecione os eventos desejados e copie ou arraste de volta para o diálogo Permitido.
  3. Solte ou cole para exibir o diálogo Selecionar Tipo do Item de Regra.
  4. Selecione o tipo dos itens a serem criados, caminho do arquivo, nome do arquivo, pasta ou hash do arquivo.
  5. Os itens de regra são adicionados.

Exportar dados – selecione para exportar a exibição atual em formato CSV. Você pode mandar exportar somente com as colunas atualmente selecionadas ou com todas as colunas.

Mostrar editor de filtro – selecione para adicionar filtros aos resultados da consulta.

Escolher colunas – selecione para personalizar quais colunas são exibidas nos resultados da consulta.

Menu de contexto dos resultados

Clique com o botão direito num cabeçalho de coluna para exibir o menu de contexto, que permite executar uma série de ações adicionais.

  • Ordenar ascendente: classifica a coluna selecionada em ordem ascendente.
  • Ordenar descendente: classifica a coluna selecionada em ordem descendente.
  • Limpar classificação: remove a classificação ascendente ou descendente atualmente definida para a coluna.
  • Agrupar por esta coluna: agrupa a lista usando os dados na coluna selecionada. Uma lista expansível será criada para cada valor de coluna possível.

    • Se você realizar esta ação em qualquer coluna subsequente, esses dados serão apresentados como grupos aninhados em níveis cada vez mais inferiores dentro das listas expansíveis.

    Se Mostrar Painel Agrupar estiver habilitado, as caixas "Agrupar por" serão exibidas na área imediatamente abaixo dos cabeçalhos de coluna.

    Dica: para desativar o recurso Agrupar por Esta Coluna e reverter para a exibição original: habilite Mostrar Painel Agrupar, clique com o botão direito em cada caixa Agrupar por e selecione Desagrupar, depois clique com o botão direito no cabeçalho da coluna e selecione Ocultar Painel Agrupar.

  • Mostrar painel agrupar/Ocultar painel agrupar: exibe ou oculta, imediatamente abaixo dos cabeçalhos das colunas, uma área contendo as caixas "Agrupar por". Uma caixa “Agrupar por” será exibida para cada cabeçalho de coluna para a qual Agrupar por Esta Coluna estiver atualmente habilitado. Também é possível arrastar cabeçalhos de coluna para e desta área.

    • A tabela será agrupada de acordo com os dados na caixa. Se houver duas ou mais caixas, o agrupamento será aninhado, com a caixa mais à esquerda apresentada no nível mais alto, a segunda caixa apresentada no segundo nível, etc.

  • Mostrar seletor de coluna: permite adicionar e ocultar informações na grade. Ao selecionar Mostrar Seletor de Coluna, o diálogo Seletor de Coluna é exibido. Esse diálogo é usado para especificar quais das colunas disponíveis serão exibidas na grade. Se você clicar em uma entrada na lista e arrastá-la para uma nova posição na caixa de diálogo, as colunas na grade serão reordenadas para se adequar.
  • Melhor ajuste: redimensiona a largura da coluna selecionada para que o texto do cabeçalho seja exibido na quantidade ideal de espaço.
  • Melhor ajuste (todas as colunas): redimensiona a largura de todas as colunas na tabela para que o texto do cabeçalho seja exibido na quantidade ideal de espaço.
  • Editor de filtros: o diálogo Editor de Filtros mostrará todos os filtros avançados que estão atualmente ativos nos cabeçalhos de coluna. Você pode usar o editor para modificar os critérios de filtragem existentes e criar novos critérios usando as condições do filtro e os operadores lógicos disponíveis.

Tópicos relacionados

Eventos do controle de aplicativos

Manutenção de Banco de dados