Verwenden der Ereignisanzeige mit AppLocker
In diesem Artikel werden AppLocker-Ereignisse aufgelistet und die Verwendung von Ereignisanzeige mit AppLocker beschrieben.
Das AppLocker-Protokoll enthält Informationen zu Anwendungen, die von AppLocker-Regeln betroffen sind. Jedes Ereignis im Protokoll enthält Details wie die folgenden Informationen:
- Welche Datei betroffen ist, und der Pfad dieser Datei
- Welche gepackte App betroffen ist, und die Paket-ID der App
- Gibt an, ob die Datei oder die gepackte App zulässig oder blockiert ist.
- Der Regeltyp (Pfad, Dateihash oder Herausgeber)
- Der Regelname
- Die Sicherheits-ID (SID) für den In der Regel identifizierten Benutzer oder die Gruppe
Überprüfen Sie die Einträge im Ereignisanzeige, um zu ermitteln, ob Anwendungen nicht in den regeln enthalten sind, die Sie automatisch generiert haben. Für instance werden einige branchenspezifische Apps an nicht standardmäßigen Speicherorten installiert, z. B. am Stamm des aktiven Laufwerks (z. B%SystemDrive%. ).
Informationen dazu, wonach Sie in den AppLocker-Ereignisprotokollen suchen müssen, finden Sie unter Überwachen der App-Nutzung mit AppLocker.
Hinweis
Die AppLocker-Ereignisprotokolle sind sehr ausführlich und können abhängig von den bereitgestellten Richtlinien zu einer großen Anzahl von Ereignissen führen, insbesondere im AppLocker -EXE- und DLL-Ereignisprotokoll . Wenn Sie einen Ereignisweiterleitungs- und -sammlungsdienst wie LogAnalytics verwenden, sollten Sie die Konfiguration für dieses Ereignisprotokoll anpassen, um nur Fehlerereignisse zu erfassen oder die Erfassung von Ereignissen aus diesem Protokoll vollständig zu beenden.
Überprüfen der AppLocker-Protokolle in Windows Ereignisanzeige
- Öffnen Sie die Ereignisanzeige.
- Wählen Sie in der Konsolenstruktur unter Anwendungs- und Dienstprotokolle\Microsoft\Windowsdie Option AppLocker aus.
Die folgende Tabelle enthält Informationen zu den Ereignissen, die Sie verwenden können, um die von AppLocker-Regeln betroffenen Apps zu bestimmen.
| Ereignis-ID | Stufe | Ereignismeldung | Beschreibung |
|---|---|---|---|
| 8000 | Fehler | Fehler bei der Konvertierung der AppID-Richtlinie. Status * <%1> * | Gibt an, dass die Richtlinie nicht ordnungsgemäß auf den Computer angewendet wurde. Die status Meldung wird zur Problembehandlung bereitgestellt. |
| 8001 | Information | Die AppLocker-Richtlinie wurde erfolgreich auf diesen Computer angewendet. | Gibt an, dass die AppLocker-Richtlinie erfolgreich auf den Computer angewendet wurde. |
| 8002 | Information | *<Dateiname> * darf ausgeführt werden. | Gibt an, dass eine AppLocker-Regel die .exe- oder .dll-Datei zugelassen hat. |
| 8003 | Warnung | *<Dateiname> * darf ausgeführt werden, wäre aber an der Ausführung gehindert worden, wenn die AppLocker-Richtlinie erzwungen wurde. | Wird nur angezeigt, wenn der Erzwingungsmodus nur überwachen aktiviert ist. Gibt an, dass die AppLocker-Richtlinie die .exe- oder .dll-Datei blockieren würde, wenn die Einstellung für den Erzwingungsmodus Regeln erzwingen lautet. |
| 8004 | Fehler | *<Dateiname> * konnte nicht ausgeführt werden. | AppLocker blockiert die benannte EXE- oder DLL-Datei. Wird nur angezeigt, wenn der Erzwingungsmodus "Regeln erzwingen " aktiviert ist. |
| 8005 | Information | *<Dateiname> * darf ausgeführt werden. | Gibt an, dass eine AppLocker-Regel das Skript oder .msi Datei zugelassen hat. |
| 8006 | Warnung | *<Dateiname> * darf ausgeführt werden, wäre aber an der Ausführung gehindert worden, wenn die AppLocker-Richtlinie erzwungen wurde. | Wird nur angezeigt, wenn der Erzwingungsmodus nur überwachen aktiviert ist. Gibt an, dass die AppLocker-Richtlinie das Skript oder die .msi Datei blockieren würde, wenn der Erzwingungsmodus Regeln erzwingen aktiviert ist. |
| 8007 | Fehler | *<Dateiname> * konnte nicht ausgeführt werden. | AppLocker hat das benannte Skript oder die MSI blockiert. Wird nur angezeigt, wenn der Erzwingungsmodus "Regeln erzwingen " aktiviert ist. |
| 8008 | Warnung | *<Dateiname> *: Die AppLocker-Komponente ist für diese SKU nicht verfügbar. | Gibt eine Edition von Windows an, die AppLocker nicht unterstützt. |
| 8020 | Information | *<Dateiname> * darf ausgeführt werden. | In Windows Server 2012 und Windows 8 hinzugefügt. |
| 8021 | Warnung | *<Dateiname> * darf ausgeführt werden, wäre aber an der Ausführung gehindert worden, wenn die AppLocker-Richtlinie erzwungen wurde. | In Windows Server 2012 und Windows 8 hinzugefügt. |
| 8022 | Fehler | *<Dateiname> * konnte nicht ausgeführt werden. | In Windows Server 2012 und Windows 8 hinzugefügt. |
| 8023 | Information | *<Dateiname> * darf installiert werden. | In Windows Server 2012 und Windows 8 hinzugefügt. |
| 8024 | Warnung | *<Dateiname> * darf ausgeführt werden, wäre aber an der Ausführung gehindert worden, wenn die AppLocker-Richtlinie erzwungen wurde. | In Windows Server 2012 und Windows 8 hinzugefügt. |
| 8025 | Fehler | *<Dateiname> * konnte nicht ausgeführt werden. | In Windows Server 2012 und Windows 8 hinzugefügt. |
| 8027 | Fehler | Es können keine gepackten Apps ausgeführt werden, während Exe-Regeln erzwungen werden, und es wurden keine App-Paketregeln konfiguriert. | In Windows Server 2012 und Windows 8 hinzugefügt. |
| 8028 | Warnung | *<Dateiname> * darf ausgeführt werden, wäre aber verhindert worden, wenn die Ci-Konfigurationsrichtlinie erzwungen wurde. | In Windows Server 2016 und Windows 10 hinzugefügt. |
| 8029 | Fehler | *<Dateiname> * wurde aufgrund der Ci-Konfigurationsrichtlinie nicht ausgeführt. | In Windows Server 2016 und Windows 10 hinzugefügt. |
| 8030 | Information | ManagedInstaller-Überprüfung erfolgreich während der AppID-Überprüfung von * | In Windows Server 2016 und Windows 10 hinzugefügt. |
| 8031 | Information | SmartlockerFilter erkannte Datei * wird vom Prozess geschrieben * | In Windows Server 2016 und Windows 10 hinzugefügt. |
| 8032 | Fehler | ManagedInstaller-Überprüfung FEHLGESCHLAGEN während der AppID-Überprüfung von * | In Windows Server 2016 und Windows 10 hinzugefügt. |
| 8033 | Warnung | ManagedInstaller-Überprüfung fehlgeschlagen während der Appid-Überprüfung von * . Darf aufgrund der AppLocker-Richtlinie überwachen ausgeführt werden. | In Windows Server 2016 und Windows 10 hinzugefügt. |
| 8034 | Information | Überprüfung des ManagedInstaller-Skripts fehlgeschlagen während der AppID-Überprüfung von * | In Windows Server 2016 und Windows 10 hinzugefügt. |
| 8035 | Fehler | ManagedInstaller Script-Überprüfung erfolgreich während der AppID-Überprüfung von * | In Windows Server 2016 und Windows 10 hinzugefügt. |
| 8036 | Fehler | * wurde aufgrund einer CI-Konfigurationsrichtlinie an der Ausführung gehindert. | In Windows Server 2016 und Windows 10 hinzugefügt. |
| 8037 | Information | * hat die CI-Konfigurationsrichtlinie übergeben und darf ausgeführt werden. | In Windows Server 2016 und Windows 10 hinzugefügt. |
| 8038 | Information | Herausgeberinformationen: Betreff: * Aussteller: * Signaturindex * (* gesamt) | In Windows Server 2016 und Windows 10 hinzugefügt. |
| 8039 | Warnung | Paketfamilienname * Version * darf installiert oder aktualisiert werden, wäre aber verhindert worden, wenn die Konfigurations-CI-Richtlinie | In Windows Server 2016 und Windows 10 hinzugefügt. |
| 8040 | Fehler | Paketfamilienname * Version * wurde aufgrund der Konfigurations-CI-Richtlinie nicht installiert oder aktualisiert | In Windows Server 2016 und Windows 10 hinzugefügt. |