События управления приложениями
В этом разделе:
Параметры событий
Функция конфигурации событий Управление приложениями позволяет вам определять правила записи информации аудита и создавать события, а также содержит фильтр для указания событий, которые вы хотите заносить в журнал.
- Записывать централизованно - выберите для централизованной записи информации событий.
- Записывать локально - выберите для записи информации событий локально.
- Записывать события в файл журнала - выберите для отправки событий в журнал событий приложений или журнал событий Ivanti.
- Записывать события в локальном файле журнала - выберите для отправки событий в локальный файл журнала - путь журнала по умолчанию: %SYSTEMDRIVE%\IvantiLogs\Auditing\ApplicationControlEvents_%COMPUTERNAME%.xml. Иначе вы можете указать другой путь и выбрать формат xml или csv.
- Сделать анонимным
- Всегда использовать анонимное имя КОМПЬЮТЕРА в событиях - выберите для исключения имени компьютера из данных всех событий.
- Всегда использовать анонимное имя ПОЛЬЗОВАТЕЛЯ в событиях - выберите для исключения имени пользователя из данных всех событий. Анонимное ведение журнала также выполняет поиск путей файлов для любых экземпляров, у которых каталог соответствует имени пользователя, и заменяет имя каталога строкой
Если вы решите использовать централизованное ведение журнала событий, рекомендуется использовать планируемое обслуживание базы данных для предотвращения появления слишком большого числа записей событий. Для получения информации об обслуживании событий приложения AC см. раздел Обслуживание базы данных.
Выбор событий
В списке выбора событий перечисляются все события Управление приложениями. Выберите события для записи.
Доступные события
| ИД события | Имя события | Описание события |
|---|---|---|
| 9000 | Запрещенное выполнение | Запрос выполнения запрещенного файла. |
| 9001 | Разрешенное выполнение | Запрос выполнения разрешенного файла. Один запрос для приложения может сгенерировать несколько событий 9001 из-за того, как Windows реагирует на запросы выполнения. Считается верным использовать событие 9015 для точного аудита количества запусков приложения пользователем. |
| 9002 | Перезаписать на изменившего владельца | Разрешенный для выполнения исполняемый файл перезаписан. Имя владельца файла изменено на имя переименовавшего его пользователя. |
| 9003 | Перезаписать на переименовавшего владельца | Разрешенный для выполнения исполняемый файл переименован. Имя владельца файла изменено на имя переименовавшего его пользователя. |
| 9004 | Лимит запрета приложений | Запрос на выполнение приложения был отклонен, так как уже работает макс. сконфигурированное число его экземпляров. |
| 9005 | Запрет лимита времени | Запрос на выполнение приложения был отклонен, так как текущее время находится за пределами времени доступа. |
| 9006 | Самоавторизация | Пользователь самостоятельно авторизовал приложение. |
| 9007 | Самоавторизация разрешена | Запрос на выполнение файла было разрешен, так как это авторизовано пользователем. |
| 9009 | Тайм-аут правила со сценарием | Сценарий выполнялся макс. сконфигурированное время без завершения. Правило не было применено. |
| 9010 | Ошибка правила со сценарием | Ошибка во время выполнения сценария. Правило не было применено. |
| 9011 | Правило со сценарием выполнено успешно | Сценарий выполнен успешно. |
| 9015 | Приложение запущено | Разрешенное приложение выполняется. Один запрос для приложения может сгенерировать несколько событий 9001 из-за того, как Windows реагирует на запросы выполнения. Считается верным использовать событие 9015 для точного аудита количества запусков приложения пользователем. |
| 9016 | Не удалось изменить владение | Ошибка во время попытки изменения владения файлом. |
| 9017 | Прекращение работы приложения | Работа приложения прекращена. |
| 9018 | Привилегии пользователя приложения изменены | Привилегии пользователя приложения были изменены. |
| 9023 | Самоповышение доверия разрешено | Пользователь запустил приложение с завышенными правами (полные права администратора). |
| 9024 | Перенаправление URL-адресов | Веб-браузер пытался открыть URL-адрес, а приложение Ivanti Управление приложениями перенаправило его на другой URL-адрес. |
| 9030 | Приложение с повышенным доверием | Приложение запущено с завышенными правами (полные права администратора). |
| 9055 | Запуск/останов службы | Служба запущена или остановлена. |
| 9056 | Ненадежный файл с соответствием метаданных | Ошибка проверки сертификата подписанного файла. Элемент правила, соответствующий имени сертификата, не применен. |
| 9099 | Не лицензировано | Ivanti Управление приложениями не лицензировано. |
Один запрос для приложения может сгенерировать несколько событий 9001 из-за того, как Windows реагирует на запросы выполнения. Считается верным использовать событие 9015 для точного аудита количества запусков приложения пользователем.
События 9001, 9007 и 9015 выключены по умолчанию, так как они могут генерировать чрезмерные данные во время работы слишком загруженных конечных систем. Мы рекомендуем использовать эти события только для поиска и устранения проблем, и только в течение коротких периодов времени.
Фильтрация событий
Функция фильтрации событий позволяет вам фильтровать типы файлов, для которых требуется выполнить аудит. Это, в частности, полезно если будет выбран высокий уровень регистрации событий.
Таблица фильтрации событий может быть открыта из диалога редактора конфигураций Управление приложениями > Настройки конфигурации > События > Фильтрация в диалоге "Аудит".
Параметр Включить фильтрацию событий активен по умолчанию и сконфигурирован для включения рекомендуемых фильтров файлов.
Выберите или отмените выбор типов файлов для каждого перечисленного события.
Вы можете добавить новые типы файлов в список, нажав их правой кнопкой мыши > Добавить.