Использование средства просмотра событий с AppLocker
В этой статье перечислены события AppLocker и описано, как использовать Просмотр событий с AppLocker.
Журнал AppLocker содержит сведения о приложениях, затронутых правилами AppLocker. Каждое событие в журнале содержит следующие сведения:
- Затронутый файл и путь к нему
- Затронуто упаковавшееся приложение и идентификатор пакета приложения
- Разрешен или заблокирован файл или упакованое приложение
- Тип правила (путь, хэш файла или издатель)
- Имя правила
- Идентификатор безопасности (SID) для пользователя или группы, определенных в правиле
Просмотрите записи в Просмотр событий, чтобы определить, не включены ли какие-либо приложения в автоматически созданные правила. Например, некоторые бизнес-приложения устанавливаются в нестандартные расположения, такие как корень активного диска (например, %SystemDrive%).
Сведения о том, что следует искать в журналах событий AppLocker, см. в разделе Мониторинг использования приложений с помощью AppLocker.
Примечание.
Журналы событий AppLocker являются очень подробными и могут привести к большому количеству событий в зависимости от развернутых политик, особенно в журнале событий AppLocker — EXE и DLL . Если вы используете службу пересылки и сбора событий, например LogAnalytics, вам может потребоваться настроить конфигурацию для этого журнала событий, чтобы только собирать события ошибок или полностью прекратить сбор событий из этого журнала.
Просмотр журналов AppLocker в Windows Просмотр событий
- Откройте окно просмотра событий.
- В дереве консоли в разделе Журналы приложений и служб\Microsoft\Windows выберите AppLocker.
В следующей таблице содержатся сведения о событиях, которые можно использовать для определения приложений, на которые влияют правила AppLocker.
| Код события | Уровень | Сообщение о событии | Описание |
|---|---|---|---|
| 8000 | Ошибка | Не удалось преобразовать политику AppID. Состояние * <%1> * | Указывает, что политика неправильно применена к компьютеру. Сообщение о состоянии предоставляется для устранения неполадок. |
| 8001 | Сведения | Политика AppLocker успешно применена к этому компьютеру. | Указывает, что политика AppLocker успешно применена к компьютеру. |
| 8002 | Сведения | *<Имя> файла * разрешено выполнять. | Указывает, что правило AppLocker разрешает .exe или .dll файл. |
| 8003 | Warning | *<Имя> файла * было разрешено запускаться, но было бы запрещено запускаться, если бы политика AppLocker была применена. | Отображается только в том случае, если включен режим принудительного применения только аудита . Указывает, что политика AppLocker заблокирует .exe или .dll файл, если параметр режима принудительного применения — Принудительное применение правил. |
| 8004 | Ошибка | *<Имя файла> * не запущено. | AppLocker заблокировал именованный ФАЙЛ EXE или DLL. Отображается только в том случае, если включен режим принудительного применения правил . |
| 8005 | Сведения | *<Имя> файла * разрешено выполнять. | Указывает, что правило AppLocker разрешает скрипт или .msi файл. |
| 8006 | Warning | *<Имя> файла * было разрешено запускаться, но было бы запрещено запускаться, если бы политика AppLocker была применена. | Отображается только в том случае, если включен режим принудительного применения только аудита . Указывает, что политика AppLocker заблокирует сценарий или файл .msi, если включен режим принудительного применения правил . |
| 8007 | Ошибка | *<Имя файла> * не запущено. | AppLocker заблокировал именованный скрипт или MSI. Отображается только в том случае, если включен режим принудительного применения правил . |
| 8008 | Warning | *<Имя> файла *: компонент AppLocker недоступен для этого номера SKU. | Указывает выпуск Windows, который не поддерживает AppLocker. |
| 8020 | Сведения | *<Имя> файла * разрешено выполнять. | Добавлено в Windows Server 2012 и Windows 8. |
| 8021 | Warning | *<Имя> файла * было разрешено запускаться, но было бы запрещено запускаться, если бы политика AppLocker была применена. | Добавлено в Windows Server 2012 и Windows 8. |
| 8022 | Ошибка | *<Имя файла> * не запущено. | Добавлено в Windows Server 2012 и Windows 8. |
| 8023 | Сведения | *<Имя файла> * было разрешено установить. | Добавлено в Windows Server 2012 и Windows 8. |
| 8024 | Warning | *<Имя> файла * было разрешено запускаться, но было бы запрещено запускаться, если бы политика AppLocker была применена. | Добавлено в Windows Server 2012 и Windows 8. |
| 8025 | Ошибка | *<Имя файла> * не запущено. | Добавлено в Windows Server 2012 и Windows 8. |
| 8027 | Ошибка | При применении правил Exe нельзя выполнять упакованные приложения, а правила упакованных приложений не настроены. | Добавлено в Windows Server 2012 и Windows 8. |
| 8028 | Warning | *<Имя> файла * было разрешено выполняться, но было бы запрещено, если бы была применена политика Config CI. | Добавлено в Windows Server 2016 и Windows 10. |
| 8029 | Ошибка | *<Имя> файла * не удалось запустить из-за политики конфигурации CI. | Добавлено в Windows Server 2016 и Windows 10. |
| 8030 | Сведения | ManagedInstaller проверка SUCCEEDED во время проверки Appid * | Добавлено в Windows Server 2016 и Windows 10. |
| 8031 | Сведения | Обнаруженный файл SmartlockerFilter * записывается процессом * | Добавлено в Windows Server 2016 и Windows 10. |
| 8032 | Ошибка | ManagedInstaller проверка FAILED во время проверки Appid * | Добавлено в Windows Server 2016 и Windows 10. |
| 8033 | Warning | ManagedInstaller проверка FAILED во время проверки Appid * . Разрешено выполняться из-за аудита политики AppLocker. | Добавлено в Windows Server 2016 и Windows 10. |
| 8034 | Сведения | Сценарий ManagedInstaller проверка FAILED во время проверки Appid * | Добавлено в Windows Server 2016 и Windows 10. |
| 8035 | Ошибка | Сценарий ManagedInstaller проверка УСПЕШНО выполнено во время проверки Appid * | Добавлено в Windows Server 2016 и Windows 10. |
| 8036 | Ошибка | * не удалось запуститься из-за политики конфигурации CI | Добавлено в Windows Server 2016 и Windows 10. |
| 8037 | Сведения | * передана политика конфигурации CI и разрешено выполнение. | Добавлено в Windows Server 2016 и Windows 10. |
| 8038 | Сведения | Сведения об издателе: Тема: * Издатель: * Индекс подписи * (* всего) | Добавлено в Windows Server 2016 и Windows 10. |
| 8039 | Warning | Имя семейства пакетов * версия * было разрешено установить или обновить, но было бы запрещено, если бы политика конфигурации CI | Добавлено в Windows Server 2016 и Windows 10. |
| 8040 | Ошибка | Имя семейства пакетов * версия * не удалось установить или обновить из-за политики конфигурации CI | Добавлено в Windows Server 2016 и Windows 10. |