Usar el Visor de eventos con AppLocker
En este artículo se enumeran los eventos de AppLocker y se describe cómo usar Visor de eventos con AppLocker.
El registro de AppLocker contiene información sobre las aplicaciones afectadas por las reglas de AppLocker. Cada evento del registro contiene detalles como la siguiente información:
- ¿Qué archivo se ve afectado y la ruta de acceso de ese archivo?
- Qué aplicación empaquetada se ve afectada y el identificador de paquete de la aplicación
- Si el archivo o la aplicación empaquetada están permitidos o bloqueados
- Tipo de regla (ruta de acceso, hash de archivo o publicador)
- Nombre de la regla
- Identificador de seguridad (SID) para el usuario o grupo identificado en la regla
Revise las entradas de la Visor de eventos para determinar si las aplicaciones no se incluyen en las reglas que generó automáticamente. Por ejemplo, algunas aplicaciones de línea de negocio se instalan en ubicaciones no estándar, como la raíz de la unidad activa (por ejemplo, %SystemDrive%).
Para obtener información sobre qué buscar en los registros de eventos de AppLocker, consulta Supervisión del uso de aplicaciones con AppLocker.
Nota
Los registros de eventos de AppLocker son muy detallados y pueden dar lugar a un gran número de eventos en función de las directivas implementadas, especialmente en el registro de eventos de AppLocker- EXE y DLL . Si usa un servicio de reenviamiento y recopilación de eventos, como LogAnalytics, es posible que desee ajustar la configuración de ese registro de eventos para que solo recopile eventos de error o deje de recopilar eventos de ese registro por completo.
Revise los registros de AppLocker en Windows Visor de eventos
- Abre el Visor de eventos.
- En el árbol de consola en Registros de aplicaciones y servicios\Microsoft\Windows, seleccione AppLocker.
La tabla siguiente contiene información sobre los eventos que puede usar para determinar las aplicaciones afectadas por las reglas de AppLocker.
| Id. de evento | Nivel | Mensaje de evento | Descripción |
|---|---|---|---|
| 8000 | Error | Error en la conversión de directivas de AppID. Estado * <%1> * | Indica que la directiva no se aplicó correctamente al equipo. El mensaje de estado se proporciona con fines de solución de problemas. |
| 8001 | Información | La directiva de AppLocker se aplicó correctamente a este equipo. | Indica que la directiva de AppLocker se aplicó correctamente al equipo. |
| 8002 | Información | *<Se permitió ejecutar el nombre> de archivo *. | Indica que una regla de AppLocker permitió el archivo .exe o .dll. |
| 8003 | Advertencia | *<Se permitió ejecutar el nombre> de archivo *, pero se habría impedido que se ejecutara si se aplicara la directiva de AppLocker. | Solo se muestra cuando el modo de cumplimiento Auditar solo está habilitado. Indica que la directiva de AppLocker bloquearía el archivo .exe o .dll si la configuración del modo de cumplimiento fuera Aplicar reglas. |
| 8004 | Error | *<El nombre> de archivo * no se pudo ejecutar. | AppLocker bloqueó el archivo EXE o DLL con nombre. Solo se muestra cuando está habilitado el modo de aplicación de reglas De aplicación. |
| 8005 | Información | *<Se permitió ejecutar el nombre> de archivo *. | Indica que una regla de AppLocker permitió el script o .msi archivo. |
| 8006 | Advertencia | *<Se permitió ejecutar el nombre> de archivo *, pero se habría impedido que se ejecutara si se aplicara la directiva de AppLocker. | Solo se muestra cuando el modo de cumplimiento Auditar solo está habilitado. Indica que la directiva de AppLocker bloquearía el script o el archivo de .msi si se habilitase el modo De aplicación de reglas . |
| 8007 | Error | *<El nombre> de archivo * no se pudo ejecutar. | AppLocker bloqueó el script o MSI con nombre. Solo se muestra cuando está habilitado el modo de aplicación de reglas De aplicación. |
| 8008 | Advertencia | *<Nombre> de archivo *: el componente de AppLocker no está disponible en esta SKU. | Indica una edición de Windows que no admite AppLocker. |
| 8020 | Información | *<Se permitió ejecutar el nombre> de archivo *. | Se ha agregado en Windows Server 2012 y Windows 8. |
| 8021 | Advertencia | *<Se permitió ejecutar el nombre> de archivo *, pero se habría impedido que se ejecutara si se aplicara la directiva de AppLocker. | Se ha agregado en Windows Server 2012 y Windows 8. |
| 8022 | Error | *<El nombre> de archivo * no se pudo ejecutar. | Se ha agregado en Windows Server 2012 y Windows 8. |
| 8023 | Información | *<Se permitió instalar el nombre> de archivo *. | Se ha agregado en Windows Server 2012 y Windows 8. |
| 8024 | Advertencia | *<Se permitió ejecutar el nombre> de archivo *, pero se habría impedido que se ejecutara si se aplicara la directiva de AppLocker. | Se ha agregado en Windows Server 2012 y Windows 8. |
| 8025 | Error | *<El nombre> de archivo * no se pudo ejecutar. | Se ha agregado en Windows Server 2012 y Windows 8. |
| 8027 | Error | No se puede ejecutar ninguna aplicación empaquetada mientras se aplican las reglas exe y no se ha configurado ninguna regla de aplicación empaquetada. | Se ha agregado en Windows Server 2012 y Windows 8. |
| 8028 | Advertencia | *<El nombre> de archivo * se pudo ejecutar, pero se habría evitado si se aplicara la directiva de CI de configuración. | Se ha agregado en Windows Server 2016 y Windows 10. |
| 8029 | Error | *<Se ha impedido que el nombre> de archivo * se ejecute debido a la directiva de CI de configuración. | Se ha agregado en Windows Server 2016 y Windows 10. |
| 8030 | Información | Comprobación de ManagedInstaller CORRECTA durante la comprobación de Appid de * | Se ha agregado en Windows Server 2016 y Windows 10. |
| 8031 | Información | SmartlockerFilter detectó el archivo * que se escribe por proceso * | Se ha agregado en Windows Server 2016 y Windows 10. |
| 8032 | Error | Error en la comprobación de ManagedInstaller durante la comprobación de Appid de * | Se ha agregado en Windows Server 2016 y Windows 10. |
| 8033 | Advertencia | Error en la comprobación de ManagedInstaller durante la comprobación de Appid de * . Se permite ejecutar debido a la directiva de Auditoría de AppLocker. | Se ha agregado en Windows Server 2016 y Windows 10. |
| 8034 | Información | Error en la comprobación de scripts de ManagedInstaller durante la comprobación de Appid de * | Se ha agregado en Windows Server 2016 y Windows 10. |
| 8035 | Error | Comprobación de script ManagedInstaller CORRECTA durante la comprobación de Appid de * | Se ha agregado en Windows Server 2016 y Windows 10. |
| 8036 | Error | * no se pudo ejecutar debido a la directiva de CI de configuración | Se ha agregado en Windows Server 2016 y Windows 10. |
| 8037 | Información | * se ha pasado la directiva de CI de configuración y se le ha permitido ejecutar. | Se ha agregado en Windows Server 2016 y Windows 10. |
| 8038 | Información | Información del publicador: Asunto: * Emisor: * Índice de firma * (* total) | Se ha agregado en Windows Server 2016 y Windows 10. |
| 8039 | Advertencia | Se permitió instalar o actualizar el nombre de familia del paquete * versión *, pero se habría evitado si la directiva de CI de configuración | Se ha agregado en Windows Server 2016 y Windows 10. |
| 8040 | Error | Se ha impedido la instalación o actualización del nombre de familia del paquete * versión * debido a la directiva de CI de configuración | Se ha agregado en Windows Server 2016 y Windows 10. |