AppLocker でのイベント ビューアーの使用

• 適用対象:

  ✅ Windows 11, ✅ Windows 10

この記事では、AppLocker イベントの一覧を示し、AppLocker でイベント ビューアーを使用する方法について説明します。

AppLocker ログには、AppLocker 規則の影響を受けるアプリケーションに関する情報が含まれています。 ログ内の各イベントには、次の情報などの詳細が含まれています。

• 影響を受けるファイルとそのファイルのパス
• 影響を受けるパッケージ アプリとアプリのパッケージ識別子
• ファイルまたはパッケージ 化されたアプリが許可されているかブロックされているか
• 規則の種類 (パス、ファイル ハッシュ、または発行元)
• ルール名
• ルールで識別されるユーザーまたはグループのセキュリティ識別子 (SID)

イベント ビューアーのエントリを確認して、自動的に生成されたルールにアプリケーションが含まれていないかどうかを判断します。 たとえば、一部の基幹業務アプリは、アクティブなドライブのルート (たとえば、 %SystemDrive%) など、非標準の場所にインストールされます。

AppLocker イベント ログで検索する内容については、「AppLocker で アプリの使用状況を監視する」を参照してください。

注

AppLocker イベント ログは非常に詳細であり、特に AppLocker - EXE および DLL イベント ログに展開されるポリシーに応じて多数のイベントが発生する可能性があります。 LogAnalytics などのイベント転送および収集サービスを使用している場合は、そのイベント ログの構成を調整して、Error イベントのみを収集するか、そのログからのイベントの収集を完全に停止することができます。

Windows イベント ビューアーの AppLocker ログを確認する

1. イベント ビューアーを開きます。
2. コンソール ツリーの [ アプリケーションとサービス ログ]\Microsoft\Windows で、[ AppLocker] を選択します。

次の表に、AppLocker 規則の影響を受けるアプリを特定するために使用できるイベントに関する情報を示します。

イベント ID	レベル	イベント メッセージ	説明
8000	エラー	AppID ポリシーの変換に失敗しました。 Status * <%1> *	ポリシーがコンピューターに正しく適用されなかったことを示します。 状態メッセージは、トラブルシューティングのために提供されます。
8001	情報	AppLocker ポリシーがこのコンピューターに正常に適用されました。	AppLocker ポリシーがコンピューターに正常に適用されたことを示します。
8002	情報	*<File name> * の実行が許可されました。	.exe または .dll ファイルを許可する AppLocker 規則を示します。
8003	Warning	*<File name> * は実行が許可されましたが、AppLocker ポリシーが適用された場合は実行できませんでした。	監査のみの適用モードが有効になっている場合にのみ表示されます。 適用モードの設定が [ 規則の適用] の場合、AppLocker ポリシーによって .exe または .dll ファイルがブロックされることを示します。
8004	エラー	*<File name> * が実行されませんでした。	AppLocker は、名前付き EXE または DLL ファイルをブロックしました。 [規則の適用] モードが有効になっている場合にのみ表示されます。
8005	情報	*<File name> * の実行が許可されました。	AppLocker ルールでスクリプトまたはファイル .msi 許可されたことを示します。
8006	Warning	*<File name> * は実行が許可されましたが、AppLocker ポリシーが適用された場合は実行できませんでした。	監査のみの適用モードが有効になっている場合にのみ表示されます。 規則の 適用 モードが有効になっている場合、AppLocker ポリシーによってスクリプトまたは .msi ファイルがブロックされることを示します。
8007	エラー	*<File name> * が実行されませんでした。	AppLocker は、名前付きスクリプトまたは MSI をブロックしました。 [規則の適用] モードが有効になっている場合にのみ表示されます。
8008	Warning	*<File name> *: AppLocker コンポーネントは、この SKU では使用できません。	AppLocker をサポートしていない Windows のエディションを示します。
8020	情報	*<File name> * の実行が許可されました。	Windows Server 2012とWindows 8に追加されました。
8021	Warning	*<File name> * は実行が許可されましたが、AppLocker ポリシーが適用された場合は実行できませんでした。	Windows Server 2012とWindows 8に追加されました。
8022	エラー	*<File name> * が実行されませんでした。	Windows Server 2012とWindows 8に追加されました。
8023	情報	*<File name> * のインストールが許可されました。	Windows Server 2012とWindows 8に追加されました。
8024	Warning	*<File name> * は実行が許可されましたが、AppLocker ポリシーが適用された場合は実行できませんでした。	Windows Server 2012とWindows 8に追加されました。
8025	エラー	*<File name> * が実行されませんでした。	Windows Server 2012とWindows 8に追加されました。
8027	エラー	Exe ルールが適用され、パッケージ アプリルールが構成されていない間は、パッケージ化されたアプリを実行できません。	Windows Server 2012とWindows 8に追加されました。
8028	Warning	*<File name> * は実行を許可されましたが、Config CI ポリシーが適用された場合は実行できませんでした。	Windows Server 2016とWindows 10に追加されました。
8029	エラー	*<File name> * は、Config CI ポリシーにより実行されませんでした。	Windows Server 2016とWindows 10に追加されました。
8030	情報	ManagedInstaller チェック の Appid 検証中に成功しました*	Windows Server 2016とWindows 10に追加されました。
8031	情報	SmartlockerFilter 検出されたファイル * プロセスによって書き込まれている *	Windows Server 2016とWindows 10に追加されました。
8032	エラー	ManagedInstaller チェック * の Appid 検証中に失敗しました	Windows Server 2016とWindows 10に追加されました。
8033	Warning	ManagedInstaller チェック * の Appid 検証中に失敗しました。 AppLocker ポリシーの監査が原因で実行できます。	Windows Server 2016とWindows 10に追加されました。
8034	情報	の Appid 検証中に ManagedInstaller スクリプトチェック FAILED	Windows Server 2016とWindows 10に追加されました。
8035	エラー	* の Appid 検証中に ManagedInstaller スクリプトチェック SUCCEEDED	Windows Server 2016とWindows 10に追加されました。
8036	エラー	* 構成 CI ポリシーにより実行が禁止されました	Windows Server 2016とWindows 10に追加されました。
8037	情報	* Config CI ポリシーが渡され、実行が許可されました。	Windows Server 2016とWindows 10に追加されました。
8038	情報	発行元情報: 件名: * 発行者: * 署名インデックス * (* 合計)	Windows Server 2016とWindows 10に追加されました。
8039	Warning	パッケージ ファミリ名 * バージョン * はインストールまたは更新が許可されましたが、Config CI ポリシーの場合は禁止されていました	Windows Server 2016とWindows 10に追加されました。
8040	エラー	パッケージ ファミリ名 * バージョン * は、Config CI ポリシーによりインストールまたは更新が禁止されました	Windows Server 2016とWindows 10に追加されました。

関連記事

• AppLocker で使用するツール