Utilisation de l’observateur d’événements avec AppLocker
Cet article répertorie les événements AppLocker et explique comment utiliser observateur d'événements avec AppLocker.
Le journal AppLocker contient des informations sur les applications affectées par les règles AppLocker. Chaque événement du journal contient des détails tels que les informations suivantes :
- Quel fichier est affecté et le chemin d’accès de ce fichier
- Quelle application empaquetée est affectée et l’identificateur de package de l’application
- Indique si le fichier ou l’application empaquetée est autorisé ou bloqué
- Type de règle (chemin d’accès, hachage de fichier ou éditeur)
- Nom de la règle
- Identificateur de sécurité (SID) pour l’utilisateur ou le groupe identifié dans la règle
Passez en revue les entrées dans le observateur d'événements pour déterminer si des applications ne sont pas incluses dans les règles que vous avez générées automatiquement. Par instance, certaines applications métier sont installées à des emplacements non standard, tels que la racine du lecteur actif (par exemple, %SystemDrive%
).
Pour plus d’informations sur les éléments à rechercher dans les journaux des événements AppLocker, consultez Surveiller l’utilisation des applications avec AppLocker.
Remarque
Les journaux des événements AppLocker sont très détaillés et peuvent entraîner un grand nombre d’événements en fonction des stratégies déployées, en particulier dans le journal des événements AppLocker - EXE et DLL . Si vous utilisez un service de transfert et de collecte d’événements, comme LogAnalytics, vous pouvez ajuster la configuration de ce journal des événements afin de collecter uniquement les événements d’erreur ou d’arrêter la collecte des événements à partir de ce journal.
Passer en revue les journaux AppLocker dans Windows observateur d'événements
- Ouvrez l’observateur d’événements.
- Dans l’arborescence de la console, sous Journaux des applications et des services\Microsoft\Windows, sélectionnez AppLocker.
Le tableau suivant contient des informations sur les événements que vous pouvez utiliser pour déterminer les applications affectées par les règles AppLocker.
ID d’événement | Niveau | Message d’événement | Description |
---|---|---|---|
8000 | Erreur | Échec de la conversion de stratégie AppID. État * <%1> * | Indique que la stratégie n’a pas été appliquée correctement à l’ordinateur. Le message status est fourni à des fins de résolution des problèmes. |
8001 | Informations | La stratégie AppLocker a été appliquée avec succès à cet ordinateur. | Indique que la stratégie AppLocker a été correctement appliquée à l’ordinateur. |
8002 | Informations | *<Nom de fichier> * a été autorisé à s’exécuter. | Indique qu’une règle AppLocker a autorisé le fichier .exe ou .dll. |
8003 | Warning | *<Nom de fichier> * était autorisé à s’exécuter, mais l’exécution aurait été empêchée si la stratégie AppLocker avait été appliquée. | Affiché uniquement lorsque le mode d’application Auditer uniquement est activé. Indique que la stratégie AppLocker bloque le fichier .exe ou .dll si le paramètre de mode d’application était Appliquer les règles. |
8004 | Erreur | *<Nom> de fichier * n’a pas pu s’exécuter. | AppLocker a bloqué le fichier EXE ou DLL nommé. Affiché uniquement lorsque le mode d’application Appliquer les règles est activé. |
8005 | Informations | *<Nom de fichier> * a été autorisé à s’exécuter. | Indique qu’une règle AppLocker a autorisé le script ou .msi fichier. |
8006 | Warning | *<Nom de fichier> * était autorisé à s’exécuter, mais l’exécution aurait été empêchée si la stratégie AppLocker avait été appliquée. | Affiché uniquement lorsque le mode d’application Auditer uniquement est activé. Indique que la stratégie AppLocker bloque le script ou le fichier .msi si le mode d’application Appliquer des règles était activé. |
8007 | Erreur | *<Nom> de fichier * n’a pas pu s’exécuter. | AppLocker a bloqué le script nommé ou MSI. Affiché uniquement lorsque le mode d’application Appliquer les règles est activé. |
8008 | Warning | *<Nom> de fichier * : composant AppLocker non disponible sur cette référence SKU. | Indique une édition de Windows qui ne prend pas en charge AppLocker. |
8020 | Informations | *<Nom de fichier> * a été autorisé à s’exécuter. | Ajout dans Windows Server 2012 et Windows 8. |
8021 | Warning | *<Nom de fichier> * était autorisé à s’exécuter, mais l’exécution aurait été empêchée si la stratégie AppLocker avait été appliquée. | Ajout dans Windows Server 2012 et Windows 8. |
8022 | Erreur | *<Nom> de fichier * n’a pas pu s’exécuter. | Ajout dans Windows Server 2012 et Windows 8. |
8023 | Informations | *<Nom de fichier> * a été autorisé à être installé. | Ajout dans Windows Server 2012 et Windows 8. |
8024 | Warning | *<Nom de fichier> * était autorisé à s’exécuter, mais l’exécution aurait été empêchée si la stratégie AppLocker avait été appliquée. | Ajout dans Windows Server 2012 et Windows 8. |
8025 | Erreur | *<Nom> de fichier * n’a pas pu s’exécuter. | Ajout dans Windows Server 2012 et Windows 8. |
8027 | Erreur | Aucune application empaquetée ne peut être exécutée pendant l’application de règles Exe et aucune règle d’application empaquetée n’a été configurée. | Ajout dans Windows Server 2012 et Windows 8. |
8028 | Warning | *<Nom> de fichier * était autorisé à s’exécuter, mais aurait été empêché si la stratégie Config CI avait été appliquée. | Ajout dans Windows Server 2016 et Windows 10. |
8029 | Erreur | *<Nom> de fichier * a été empêché de s’exécuter en raison de la stratégie CONFIG CI. | Ajout dans Windows Server 2016 et Windows 10. |
8030 | Informations | ManagedInstaller case activée SUCCEEDED pendant la vérification Appid de * | Ajout dans Windows Server 2016 et Windows 10. |
8031 | Informations | SmartLockerFilter a détecté un fichier * en cours d’écriture par le processus * | Ajout dans Windows Server 2016 et Windows 10. |
8032 | Erreur | ManagedInstaller case activée FAILED pendant la vérification appid de * | Ajout dans Windows Server 2016 et Windows 10. |
8033 | Warning | ManagedInstaller case activée FAILED pendant la vérification Appid de * . Autorisé à s’exécuter en raison de l’audit de la stratégie AppLocker. | Ajout dans Windows Server 2016 et Windows 10. |
8034 | Informations | Échec du script ManagedInstaller case activée lors de la vérification appid de * | Ajout dans Windows Server 2016 et Windows 10. |
8035 | Erreur | ManagedInstaller Script case activée SUCCEEDED pendant la vérification Appid de * | Ajout dans Windows Server 2016 et Windows 10. |
8036 | Erreur | * a été empêché de s’exécuter en raison de la stratégie d’intégration continue de configuration | Ajout dans Windows Server 2016 et Windows 10. |
8037 | Informations | * a passé la stratégie CONFIG CI et a été autorisé à s’exécuter. | Ajout dans Windows Server 2016 et Windows 10. |
8038 | Informations | Informations sur l’éditeur : Objet : * Émetteur : * Index de signature * (* total) | Ajout dans Windows Server 2016 et Windows 10. |
8039 | Warning | Nom de la famille de packages * version * autorisée à installer ou mettre à jour, mais elle aurait été empêchée si la stratégie Config CI | Ajout dans Windows Server 2016 et Windows 10. |
8040 | Erreur | Nom de la famille de packages * version * n’a pas pu être installée ou mise à jour en raison de la stratégie d’intégration continue de la configuration | Ajout dans Windows Server 2016 et Windows 10. |