事件查看器
在此部分:
要启动事件对话框,请导航到查看菜单,然后选择应用程序控件事件。 您还可以在 应用程序控件 配置编辑器中选择查看事件。
当计算机以代理策略常规设置中指定的间隔签入时,将收集事件数据。如果要在签入之前检索数据,请转到查看 > 计算机 > 突出显示计算机,然后单击鼠标右键,选择应用程序控制 > 检索事件,随后将立即运行作业。
查看事件对话框将显示在“应用程序控件配置编辑器>事件>选择/筛选”中设置的所有 应用程序控件 事件。
使用此视图可针对 应用程序控件 引发的特定审核事件运行查询。
视图查询
您可以查询以下预定义事件或创建自定义查询:
- 所有事件类型
- 拒绝的可执行文件
- 允许的可执行文件
- 自授权
- 权限管理
- 权限发现
- 自行提升
- 浏览器控件
运行查询 - 选择后可运行查询。 如果更改了“视图”、“筛选器”或“包括事件类型”,则必须重新运行查询以更新结果。
运行查询后,您可以自定义视图以对事件进行分组、筛选或排序,还能够将结果以 CSV 格式导出。
自定义视图有以下几种方法:
- 应用筛选器以搜索事件。
- 使用搜索仅显示符合搜索条件的事件。
- 单击并将列标题拖动到新位置,以重新排序这些列。
- 在列标题中单击,然后按升序或降序排序此列。
- 将更高级的筛选器应用于一个或多个列标题。 将鼠标悬停在列标题上,然后点击位于右上角的筛选器图标。
保存 - 选择后可保存对自定义查询做出的所有更改。
另存为 - 必须先选择运行查询,才能激活另存为选项。 选择后可将结果保存为新的自定义查询,输入查询的名称后,其将显示在“查看”下拉列表中。
管理 - 选择后可显示一个包含所有自定义查询的列表,在其中可选择重命名或删除查询。
包括事件类型
可用的事件类型取决于选择的视图。
应用程序控件 的完整的事件列表位于:可用事件。
如果选择自定义视图,则可以选择包含哪些事件,选择更改会显示选择对话框。
请记住,若更改了包含的事件类型,则需要再次运行查询。
筛选器
您可以使用以下选项修改查询:
- 时间范围 - 从预设时间范围中选择:10 分钟、1 小时、6 小时、24 小时、一周或一个月。 您还可以选择创建自定义时间段。
- 用户 - 仅显示为指定用户引发的事件。
- 计算机 - 仅显示通过指定计算机名称或客户端名称引发的事件。
- 仅汇总 - 仅适用于拒绝的可执行文件和允许的可执行文件视图。 如果选中,则结果将根据文件路径和事件 ID 分组。
如果更新任何筛选器,请记住要再次运行查询。
搜索
要启动搜索,可键入要查找的文本,然后单击查找。 仅显示与搜索条件相匹配的事件;会隐藏所有其他事件。
使用“搜索”工具的提示
- “搜索”工具仅对当前可见的信息起作用。 可以右键单击列标题以添加或删除要搜索的列。
- 如果应用筛选器,则仅显示与搜索条件和筛选条件匹配的更新。
- 显示所有部分匹配的虚拟机。
- 搜索不区分大小写。
- 不允许使用通配符。
- 要清除搜索条件,请单击位于搜索框右侧的
图标。
如果搜索字段不可见,请右键单击“结果”视图中的列标题,然后在上下文菜单中选择显示查找面板。
结果
选择运行查询时,查询结果将显示在底部面板中。
可对列出的事件进行拖放、复制和粘贴,以便为以下内容创建文件路径、文件名、文件夹或文件哈希规则项目:
- 规则集合
- 规则集 > 可执行的控件 > 允许/拒绝
- 规则集 > 权限管理 > 应用程序/自行提升
示例:
- 导航到 应用程序控件 配置编辑器中要创建规则项目的位置。 例如,规则集 > 所有人 > 可执行的控件 > 允许
- 在“事件查看器”对话框中,选择所需的事件,然后复制或拖回到“允许”对话框。
- 拖放或粘贴以显示“选择规则项类型”对话框。
- 选择要创建的项目类型、文件路径、文件名、文件夹或文件哈希。
- 添加规则项目。
导出数据 - 选择后以 CSV 格式导出当前视图,您可以选择仅导出当前所选列或所有列。
显示筛选器编辑器 - 选择后可将筛选器添加到查询结果中。
选择列 - 选择后可对查询结果中显示的列进行自定义。
结果上下文菜单
在列标题中右键单击以显示上下文菜单,在该菜单中可选择执行许多其他操作。
操作
- 升序排序:按升序对所选列进行排序。
- 降序排序:按降序对所选列进行排序。
- 清除排序:清除当前为某个列设置的升序或降序排序条件。
- 按此列分组:使用所选列中的数据对列表进行分组。 将为每个可能的列值创建一个可扩展列表。
- 显示组面板/隐藏组面板:显示或隐藏列标题正上方包含“分组条件”框的区域。 将当前已启用按列分组的每个列标题显示一个“分组条件”框。 您还可以将列标题拖放到此区域。
- 显示列选择器:让您能够在网格中添加和隐藏信息。 选择显示列选择器时,会显示列选择器对话框。 该对话框用于指定要在网格中显示哪些可用列。 如果单击并拖动列表中的条目到对话框中的新位置,网格中的列将被重新排序以进行匹配。
- 最合适:调整所选列的宽度,以便标题文本显示时占用最佳的空间量。
- 最合适(所有列):调整表中所有列的宽度,以便标题文本显示时占用最佳的空间量。
- 筛选器编辑器:筛选器编辑器对话框将显示列标题中当前处于活动状态的所有高级筛选器。 您可以使用编辑器修改现有的筛选条件,使用可用的筛选条件和逻辑运算符构建新条件。
如果在任何后续列上执行此操作,那么这些数据将显示为可扩展列表内越来越低级别的嵌套组。
如果启用显示组面板,则会在列标题正上方的区域中显示“分组条件”框。
提示:要关闭按此列分组功能并恢复到原始视图:启用显示组面板,右键单击每个分组条件框并选择取消分组,然后在列标题中右键单击并选择隐藏组面板。
该表将根据框中的数据进行分组。 如果有两个或更多框,则分组将被嵌套,最左边的框显示在最高级别,第二个框显示在第二级别,以此类推。