이벤트 뷰어와 AppLocker 사용
이 문서에서는 AppLocker 이벤트를 나열하고 AppLocker에서 이벤트 뷰어 사용하는 방법을 설명합니다.
AppLocker 로그에는 AppLocker 규칙의 영향을 받는 애플리케이션에 대한 정보가 포함되어 있습니다. 로그의 각 이벤트에는 다음 정보와 같은 세부 정보가 포함됩니다.
- 영향을 받는 파일 및 해당 파일의 경로
- 영향을 받는 패키지 앱 및 앱의 패키지 식별자
- 파일 또는 패키지된 앱의 허용 여부 또는 차단 여부
- 규칙 형식(경로, 파일 해시 또는 게시자)
- 규칙 이름
- 규칙에서 식별된 사용자 또는 그룹의 SID(보안 식별자)
이벤트 뷰어 항목을 검토하여 애플리케이션이 자동으로 생성된 규칙에 포함되지 않았는지 확인합니다. instance 경우 일부 기간 업무 앱은 활성 드라이브의 루트(예%SystemDrive%: )와 같은 비표준 위치에 설치됩니다.
AppLocker 이벤트 로그에서 찾을 항목에 대한 자세한 내용은 AppLocker를 사용하여 앱 사용 모니터링을 참조하세요.
참고
AppLocker 이벤트 로그는 매우 세부 정보이며, 특히 AppLocker - EXE 및 DLL 이벤트 로그에서 배포된 정책에 따라 많은 수의 이벤트가 발생할 수 있습니다. LogAnalytics와 같은 이벤트 전달 및 컬렉션 서비스를 사용하는 경우 해당 이벤트 로그에 대한 구성을 조정하여 오류 이벤트만 수집하거나 해당 로그에서 이벤트 수집을 완전히 중지할 수 있습니다.
Windows 이벤트 뷰어 AppLocker 로그 검토
- 이벤트 뷰어를 엽니다.
- 애플리케이션 및 서비스 로그\Microsoft\Windows 아래의 콘솔 트리에서 AppLocker를 선택합니다.
다음 표에는 AppLocker 규칙의 영향을 받는 앱을 확인하는 데 사용할 수 있는 이벤트에 대한 정보가 포함되어 있습니다.
| 이벤트 ID | 수준 | 이벤트 메시지 | 설명 |
|---|---|---|---|
| 8000 | 오류 | AppID 정책 변환에 실패했습니다. 상태 * <%1> * | 정책이 컴퓨터에 올바르게 적용되지 않았음을 나타냅니다. 상태 메시지는 문제 해결을 위해 제공됩니다. |
| 8001 | 정보 | AppLocker 정책이 이 컴퓨터에 성공적으로 적용되었습니다. | AppLocker 정책이 컴퓨터에 성공적으로 적용되었음을 나타냅니다. |
| 8002 | 정보 | *<파일 이름> *을(를) 실행할 수 있었습니다. | .exe 또는 .dll 파일이 허용된 AppLocker 규칙을 나타냅니다. |
| 8003 | Warning | *<파일 이름> * 은(는) 실행할 수 있었지만 AppLocker 정책이 적용된 경우 실행되지 않았을 것입니다. | 감사 전용 적용 모드가 사용하도록 설정된 경우에만 표시됩니다. 적용 모드 설정이 적용 규칙인 경우 AppLocker 정책이 .exe 또는 .dll 파일을 차단한다는 것을 나타냅니다. |
| 8004 | 오류 | *<파일 이름> * 실행이 금지되었습니다. | AppLocker가 명명된 EXE 또는 DLL 파일을 차단했습니다. 규칙 적용 모드가 활성화된 경우에만 표시됩니다. |
| 8005 | 정보 | *<파일 이름> *을(를) 실행할 수 있었습니다. | 스크립트 또는 .msi 파일이 허용된 AppLocker 규칙을 나타냅니다. |
| 8006 | Warning | *<파일 이름> * 은(는) 실행할 수 있었지만 AppLocker 정책이 적용된 경우 실행되지 않았을 것입니다. | 감사 전용 적용 모드가 사용하도록 설정된 경우에만 표시됩니다. 규칙 적용 적용 모드가 설정된 경우 AppLocker 정책이 스크립트 또는 .msi 파일을 차단했음을 나타냅니다. |
| 8007 | 오류 | *<파일 이름> * 실행이 금지되었습니다. | AppLocker가 명명된 스크립트 또는 MSI를 차단했습니다. 규칙 적용 모드가 활성화된 경우에만 표시됩니다. |
| 8008 | Warning | *<파일 이름> *: 이 SKU에서 AppLocker 구성 요소를 사용할 수 없습니다. | AppLocker를 지원하지 않는 Windows 버전을 나타냅니다. |
| 8020 | 정보 | *<파일 이름> *을(를) 실행할 수 있었습니다. | Windows Server 2012 및 Windows 8 추가되었습니다. |
| 8021 | Warning | *<파일 이름> * 은(는) 실행할 수 있었지만 AppLocker 정책이 적용된 경우 실행되지 않았을 것입니다. | Windows Server 2012 및 Windows 8 추가되었습니다. |
| 8022 | 오류 | *<파일 이름> * 실행이 금지되었습니다. | Windows Server 2012 및 Windows 8 추가되었습니다. |
| 8023 | 정보 | *<파일 이름> * 설치가 허용되었습니다. | Windows Server 2012 및 Windows 8 추가되었습니다. |
| 8024 | Warning | *<파일 이름> * 은(는) 실행할 수 있었지만 AppLocker 정책이 적용된 경우 실행되지 않았을 것입니다. | Windows Server 2012 및 Windows 8 추가되었습니다. |
| 8025 | 오류 | *<파일 이름> * 실행이 금지되었습니다. | Windows Server 2012 및 Windows 8 추가되었습니다. |
| 8027 | 오류 | Exe 규칙이 적용되는 동안에는 패키지된 앱을 실행할 수 없으며 패키지된 앱 규칙이 구성되지 않았습니다. | Windows Server 2012 및 Windows 8 추가되었습니다. |
| 8028 | Warning | *<파일 이름> * 은(는) 실행할 수 있었지만 구성 CI 정책이 적용된 경우 차단되었을 것입니다. | Windows Server 2016 및 Windows 10 추가되었습니다. |
| 8029 | 오류 | *<파일 이름> * 은 구성 CI 정책으로 인해 실행되지 않았습니다. | Windows Server 2016 및 Windows 10 추가되었습니다. |
| 8030 | 정보 | ManagedInstaller 검사 Appid 확인 중 성공 * | Windows Server 2016 및 Windows 10 추가되었습니다. |
| 8031 | 정보 | SmartlockerFilter 검색된 파일 * 프로세스에 의해 작성됨 * | Windows Server 2016 및 Windows 10 추가되었습니다. |
| 8032 | 오류 | Appid 확인 중 ManagedInstaller 검사 실패 * | Windows Server 2016 및 Windows 10 추가되었습니다. |
| 8033 | Warning | ManagedInstaller 검사 * 의 Appid 확인 중에 실패했습니다. AppLocker 정책 감사로 인해 실행할 수 있습니다. | Windows Server 2016 및 Windows 10 추가되었습니다. |
| 8034 | 정보 | Appid 확인 중 ManagedInstaller 스크립트 검사 실패 * | Windows Server 2016 및 Windows 10 추가되었습니다. |
| 8035 | 오류 | ManagedInstaller 스크립트 검사 Appid 확인 중 성공 * | Windows Server 2016 및 Windows 10 추가되었습니다. |
| 8036 | 오류 | * 구성 CI 정책으로 인해 실행되지 않았습니다. | Windows Server 2016 및 Windows 10 추가되었습니다. |
| 8037 | 정보 | * 구성 CI 정책을 통과하고 실행할 수 있었습니다. | Windows Server 2016 및 Windows 10 추가되었습니다. |
| 8038 | 정보 | 게시자 정보: 제목: * 발급자: * 서명 인덱스 * (* 합계) | Windows Server 2016 및 Windows 10 추가되었습니다. |
| 8039 | Warning | 패키지 패밀리 이름 * 버전 * 설치 또는 업데이트가 허용되었지만 구성 CI 정책의 경우 차단되었을 수 있습니다. | Windows Server 2016 및 Windows 10 추가되었습니다. |
| 8040 | 오류 | 패키지 패밀리 이름 * 버전 * 구성 CI 정책으로 인해 설치 또는 업데이트가 금지되었습니다. | Windows Server 2016 및 Windows 10 추가되었습니다. |