事件檢視器
在這個部分中:
若要啟動事件對話方塊,請瀏覽至檢視功能表並選取應用程式控制項事件。 或者,您也可以從 應用程式控制項 組態編輯器選取檢視事件。
當電腦在代理程式原則一般設定中指定的間隔內簽入時將會收集事件資料,若您要在此簽入之前擷取資料,請前往檢視 > 電腦 > 反白顯示電腦,以滑鼠右鍵按一下並選取應用程式控制項 > 擷取事件,以立即執行工作。
檢視事件對話方塊會顯示所有 應用程式控制項 事件 (已於應用程式控制項組態編輯器 > 事件 > 選取項目/篩選內設定)。
使用此檢視以針對 應用程式控制項 的特定引發稽核事件執行查詢。
檢視查詢
您可以查詢以下預先定義事件或建立自訂查詢:
- 所有事件類型
- 拒絕的可執行檔案
- 允許的可執行檔案
- 自授权
- 權限管理
- 權限搜尋
- 自我提高權限
- 瀏覽器控制項
執行查詢 - 選取以執行查詢。 若檢視、篩選器或已包括事件類型已變更,您必須重新執行查詢以更新結果。
在執行查詢時,您可以修改群組、篩選器的檢視或排序事件,並以 CSV 格式匯出結果。
有多種方式可以自訂檢視:
- 套用篩選器以搜尋事件。
- 使用搜尋,僅顯示與搜尋準則相符的事件。
- 按一下欄標題並拖放到新的位置,重新排列欄。
- 按一下欄標題,以遞增或遞減順序將欄排序。
- 將更多進階篩選器套用至一或多個欄標頭。 將滑鼠停留在欄標頭上,然後按一下位於右上角的篩選器圖示。
儲存 - 選取以儲存您對自訂查詢所做的任何變更。
另存新檔 - 您必須先選取執行查詢以啟動另存新檔選項。 選取此選項以將結果另存為新的自訂查詢,然後輸入查詢的名稱,該名稱會顯示在「檢視」下拉式清單。
管理 - 選取此選項以顯示所有自訂查詢的清單,您可以在此選擇要重新命名還是刪除查詢。
已包括事件類型
可用的事件類型將視選取的檢視而定。
您可以在此找到 應用程式控制項 的完整事件清單: 可用事件。
若選取自訂檢視,您可以選取要包含哪些事件,而選取變更即可顯示選取項目對話方塊。
請記住,若您已變更包含的事件類型,則必須再次執行查詢。
篩選器
您可以使用下列項目來修改查詢:
- 時間範圍 - 從預設時間範圍選取: 10 分鐘、小時、6 小時、24 小時、週或月。您也可以選擇建立自訂期間。
- 使用者 - 僅顯示為指定使用者引發的事件。
- 電腦 - 僅顯示從指定電腦名稱或用戶端名稱引發的事件。
- 僅摘要 - 僅適用於拒絕的可執行檔案和允許的可執行檔案檢視。 若已選取,則結果會依檔案路徑和事件 ID 分組。
若您要更新任何篩選器,請記得再次執行查詢。
搜尋
若要開始搜尋,請輸入要尋找的文字,然後按一下尋找。 只有符合搜尋準則的事件才會顯示;而所有其他事件則會隱藏。
使用搜尋工具的提示
- 搜尋工具僅適用於目前顯示的資訊。 您能夠以滑鼠右鍵按一下欄標頭來新增或移除將搜尋的欄。
- 若套用了篩選器,僅有同時符合搜尋準則及篩選器準則的更新才會顯示。
- 所有的部份相符項目都將顯示。
- 搜尋不區分大小寫。
- 不允許使用萬用字元。
- 若要清除搜尋準則,請按一下位於搜尋方塊右側的
圖示。
若無法看見搜尋欄位,請在結果檢視的欄標頭上以滑鼠右鍵按一下,然後從內容功能表選取顯示尋找面板。
結果
當您選取執行查詢時,查詢結果會顯示在下方面板。
您可以拖放或複製及貼上列出的事件以對以下所列建立「檔案路徑」、「檔案名稱」、「資料夾」或「檔案雜湊規則項目」:
- 規則集合
- 規則集 > 可執行檔控制項 > 允許/拒絕
- 規則集 > 權限管理 > 應用程式/自我提升權限
範例:
- 瀏覽到 應用程式控制項 組態編輯器中的位置,您可以在此建立規則項目。 例如,規則集 > 每個人 > 可執行檔控制項 > 已允許
- 在「事件檢視器」對話方塊中,選取所需的事件並複製或拖曳回「已允許」對話方塊。
- 拖放或貼上以顯示「選取規則項目類型」對話方塊。
- 選取您要建立的項目類型、檔案路徑、檔案名稱、資料夾或檔案雜湊。
- 已新增規則項目。
匯出資料 - 選取以使用 CSV 格式匯出目前檢視,您可以選擇僅匯出目前選取的欄或全部欄。
顯示篩選器編輯器 - 選取以將篩選器新增至查詢結果。
選擇欄 - 選取以自訂要顯示在查詢結果中的欄。
結果內容功能表
在欄標頭上以滑鼠右鍵按一下以顯示內容功能表,您可以在此選擇執行數個額外動作。
動作
- 遞增排序: 在選定的欄位上以遞增順序排序。
- 遞減排序: 在選定的欄位上以遞減順序排序。
- 清除排序: 清除目前對欄設定的遞增或遞減排序準則。
- 依此欄分組: 使用所選欄中的資料將清單分組。 會針對各個可用的欄位值建立一個可展開式清單。
- 顯示群組面板/隱藏群組面板: 在欄標頭上方,立即顯示或隱藏包含「分組依據」方塊的區域。針對各個欄標頭中目前已啟用依此欄分組的項目,將會顯示一個「分組依據」方塊。 您也可以將欄標頭拖曳至及拖離此區域。
- 顯示欄選擇器: 可讓您在格線內新增及隱藏資訊。 當您選取顯示欄選擇器時,即會顯示欄選擇器對話方塊。 此對話方塊用來指定您想在格線內顯示哪些可用的欄。 若您點選並拖曳清單中的項目到對話方塊內的新位置,則格線內的欄將會重新排序以對應此情況。
- 自動調整: 重新調整所選欄的寬度大小,這樣就能以最適空間大小顯示標頭文字。
- 自動調整 (所有欄): 重新調整表格中所有欄的寬度大小,這樣就能以最適空間大小顯示標頭文字。
- 篩選器編輯器: 篩選器編輯器對話方塊將會顯示欄標頭內目前使用中的任何進階篩選器。 您可以使用編輯器來修改現有篩選器準則,以及使用可用的篩選器條件及邏輯運算子來建置新條件。
若您在任何後續欄中執行此動作,該資料將在可展開式清單內,以更低層級的巢狀群組方式呈現。
若啟用了顯示群組面板,這將會在欄標頭上方區域內,立即顯示「分組依據」方塊。
提示: 若要關閉依此欄分組功能並還原至原始檢視: 請啟用顯示群組面板,以滑鼠右鍵按一下各個分組依據方塊並選取取消分組,然後以滑鼠右鍵按一下欄標頭,接著選取隱藏群組面板。
該表將會依據方塊中的資料進行分組。 若有兩個以上的方塊,則會以巢狀方式分組,最左側方塊代表著最高層級,而第二個方塊即表示第二層級,依此類推。