應用程式控制項事件
在這個部分中:
事件選項
應用程式控制項 組態事件功能允許您定義稽核資訊擷取與要引發事件的規則,並且包括可用於指定您想在記錄內擷取之事件的篩選器。
- 集中擷取 - 選取此選項以集中擷取事件資訊。
- 本機擷取 - 選取此選項以於本機擷取事件資訊。
- 傳送事件至事件記錄 - 選擇是否要傳送事件至「應用程式」或「Ivanti事件記錄」。
- 傳送事件至本機記錄檔案 - 選擇是否傳送事件至本機檔案記錄,預設路徑為 %SYSTEMDRIVE%\IvantiLogs\Auditing\ApplicationControlEvents_%COMPUTERNAME%.xml。 或者,您可以指定不同的路徑並於 xml 或 csv 格式之間選擇。
- 匿名化
- 一律在事件中使用匿名電腦名稱 - 選取此選項以忽略所有事件中的電腦名稱。
- 一律在事件中使用匿名使用者名稱 - 選取此選項以忽略所有事件中的使用者名稱。 匿名记录还会搜索文件路径,查找目录匹配用户名的任何实例并使用字符串替换目录名
若您選擇使用集中式事件記錄,建議您使用排程的資料庫維護,以避免事件記錄量變得太大。 如需關於 AC 事件維護的詳細資訊,請參閱資料庫維護。
事件選取項目
事件選取項目會列出所有 應用程式控制項 事件。 選取您要擷取的事件。
可用事件
| 事件 ID | 事件名稱 | 事件說明 |
|---|---|---|
| 9000 | 拒绝的执行 | 執行檔案的要求遭拒。 |
| 9001 | 允许的执行 | 允許執行檔案的要求。 由於 Windows 回應執行要求的方式,對應用程式的單一要求可以產生多個 9001 事件。 因此,最好使用事件 9015 準確稽核使用者執行應用程式的次數。 |
| 9002 | 覆盖更改的所有者 | 已覆寫允許的可執行檔案。 檔案的所有者已變更為重新命名該檔案之使用者的名稱。 |
| 9003 | 重命名更改的所有者 | 已重新命名允許的可執行檔案。 檔案的所有者已變更為重新命名該檔案之使用者的名稱。 |
| 9004 | 应用程序限制拒绝 | 拒絕執行應用程式的要求,因為已在執行中的執行個體已達到設定的最大執行個體數。 |
| 9005 | 时间限制拒绝 | 執行應用程式的要求遭拒,因為目前時間超出存取時間。 |
| 9006 | 自助授權 | 使用者已自助授權應用程式。 |
| 9007 | 自授权允许 | 允許執行檔案的要求,因為使用者已授權該檔案。 |
| 9009 | 脚本规则超时 | 指令碼執行的時間已達到設定時間上限,但仍未完成。 並未套用規則。 |
| 9010 | 脚本规则失败 | 執行指令碼時發生錯誤。 並未套用規則。 |
| 9011 | 脚本规则成功 | 指令碼順利完成。 |
| 9015 | 应用程序已启动 | 允許的應用程式已啟動執行。 由於 Windows 回應執行要求的方式,對應用程式的單一要求可以產生多個 9001 事件。 因此,最好使用事件 9015 準確稽核使用者執行應用程式的次數。 |
| 9016 | 無法變更擁有權 | 嘗試變更檔案的所有者時發生錯誤。 |
| 9017 | 應用程式終止 | 已終止應用程式。 |
| 9018 | 应用程序用户权限已更改 | 應用程式的使用者權限已變更。 |
| 9023 | 允许的自行提升 | 使用者已使用提高 (系統高權限管理員) 權限啟動應用程式。 |
| 9024 | URL 重新導向 | 網頁瀏覽器嘗試導覽到 URL,並將 Ivanti 應用程式控制項 重新導向到其他 URL。 |
| 9030 | 已提高應用程式 | 應用程式已藉由提高 (系統高權限管理員) 權限啟動。 |
| 9055 | 服務啟動/停止 | 服務已啟動或停止。 |
| 9056 | 中繼資料符合的未受信任檔案 | 無法驗證已簽署檔案的憑證。 未套用與憑證名稱相符的規則項目。 |
| 9099 | 未獲授權 | Ivanti 應用程式控制項 未獲得授權。 |
由於 Windows 回應執行要求的方式,對應用程式的單一要求可以產生多個 9001 事件。 因此,最好使用事件 9015 準確稽核使用者執行應用程式的次數。
9001、9007 和 9015 事件會依預設停用,因為它們會在忙碌的端點上產生過量的事件資料。 我们建议仅将这些事件用于故障排除目的,并且仅使用较短的时间。
事件過濾
事件筛选让您能够筛选要审计的文件类型。 如果您选择大容量事件,此功能特别有用。
可在「稽核」對話方塊內組態設定 > 事件 > 篩選下的「應用程式控制項 組態編輯器」對話方塊中存取事件篩選表。
啟用事件篩選選項會依預設啟用,並且已設定為包含推薦的檔案篩選器。
根據需要為每個列出事件的選取或清除檔案類型。
以滑鼠右鍵按一下 > 新增,您就能新增新的檔案類型至清單。