应用程序控件事件
在此部分:
事件选项
应用程序控件 配置事件功能允许针对审计信息的捕获定义规则并引发事件,还包含一个筛选器,用于指定想要在日志中捕获的事件。
- 集中捕获 - 选择后可集中捕获事件信息。
- 本地捕获 - 选择后可在本地捕获事件信息。
- 将事件发送到事件日志 - 选择是否将事件发送到应用程序或 Ivanti 事件日志。
- 将事件发送到本地日志文件 - 选择是否将事件发送到本地文件日志,默认路径为 %SYSTEMDRIVE%\IvantiLogs\Auditing\ApplicationControlEvents_%COMPUTERNAME%.xml。 您还可以指定其他路径,然后为文件选择 xml 或 csv 格式。
- 匿名化
- 始终在事件中使用匿名计算机名称 - 选择后可省略所有事件中的计算机名称。
- 始终在事件中使用匿名用户名 - 选择后可省略所有事件中的用户名。 匿名记录还会搜索文件路径,查找目录匹配用户名的任何实例并使用字符串替换目录名
如果选择使用集中事件日志记录,建议您使用计划数据库维护,防止事件记录文件过大。 有关 AC 事件维护的详细信息,请参阅数据库维护。
事件选择
事件选择可列出所有 应用程序控件 事件。 选择要捕获的事件。
可用事件
| 事件 ID | 事件名称 | 事件描述 |
|---|---|---|
| 9000 | 拒绝的执行 | 文件运行请求被拒绝。 |
| 9001 | 允许的执行 | 允许文件运行请求。 由于 Windows 响应执行请求的方式,应用程序的单个请求可生成多个 9001 事件。 因此,最好使用事件 9015 来准确地审核用户运行应用程序的次数。 |
| 9002 | 覆盖更改的所有者 | 已覆盖允许的可执行文件。 文件所有者已更改为重命名它的用户的名称。 |
| 9003 | 重命名更改的所有者 | 已重命名允许的可执行文件。 文件所有者已更改为重命名它的用户的名称。 |
| 9004 | 应用程序限制拒绝 | 应用程序运行请求被拒绝,因为已在运行配置的最大实例数。 |
| 9005 | 时间限制拒绝 | 应用程序运行请求被拒绝,因为当前时间不在访问时间范围内。 |
| 9006 | 自授权 | 用户自授权应用程序。 |
| 9007 | 自授权允许 | 允许运行文件的请求,因为用户已对其进行授权。 |
| 9009 | 脚本规则超时 | 脚本在未完成的情况下运行了最大配置时间。 未应用该规则。 |
| 9010 | 脚本规则失败 | 运行脚本时出现错误。 未应用该规则。 |
| 9011 | 脚本规则成功 | 脚本成功完成。 |
| 9015 | 应用程序已启动 | 允许的应用程序已开始运行。 由于 Windows 响应执行请求的方式,应用程序的单个请求可生成多个 9001 事件。 因此,最好使用事件 9015 来准确地审核用户运行应用程序的次数。 |
| 9016 | 无法更改所有权 | 尝试更改文件所有者时出现错误。 |
| 9017 | 应用程序终止 | 应用程序已被终止。 |
| 9018 | 应用程序用户权限已更改 | 应用程序的用户权限已更改。 |
| 9023 | 允许的自行提升 | 用户已使用提升后的权限(完全权限管理员)启动应用程序。 |
| 9024 | URL 重定向 | Web 浏览器尝试导航到 URL,而 Ivanti 应用程序控件 被重定向到另一个 URL。 |
| 9030 | 应用程序已提升 | 已使用提升后的权限(完全权限管理员)启动应用程序。 |
| 9055 | 服务启动/停止 | 服务已启动或停止。 |
| 9056 | 具有元数据匹配的不可信文件 | 无法验证签名文件的证书。 未应用与证书名称匹配的规则项目。 |
| 9099 | 未获许可 | Ivanti 应用程序控件 未获许可。 |
由于 Windows 响应执行请求的方式,应用程序的单个请求可生成多个 9001 事件。 因此,最好使用事件 9015 来准确地审核用户运行应用程序的次数。
9001、9007 和 9015 事件默认已禁用,因为它们会在忙碌的端点上生成过多的事件数据。 我们建议仅将这些事件用于故障排除目的,并且仅使用较短的时间。
事件筛选
事件筛选让您能够筛选要审计的文件类型。 如果您选择大容量事件,此功能特别有用。
在“审核”对话框中选择“配置设置 > 事件 > 筛选”后,可在“应用程序控件 配置编辑器”对话框中访问“事件筛选器”表格。
启用事件筛选选项默认启用,经配置可包含推荐的文件筛选器。
根据每个列出事件的需要,选择或清除文件类型。
您可以右键单击 > 添加将新文件类型添加到列表中。