将事件查看器与 AppLocker 一起使用
本文列出了 AppLocker 事件,并介绍如何将事件查看器与 AppLocker 配合使用。
AppLocker 日志包含有关受 AppLocker 规则影响的应用程序的信息。 日志中的每个事件都包含详细信息,例如以下信息:
- 受影响的文件以及该文件的路径
- 受影响的打包应用以及应用的包标识符
- 是允许还是阻止文件或打包的应用
- 规则类型 (路径、文件哈希或发布者)
- 规则名称
- 规则中标识的用户或组的安全标识符 (SID)
查看事件查看器中的条目,以确定自动生成的规则中是否未包含任何应用程序。 例如,某些业务线应用安装到非标准位置,例如活动驱动器的根目录 (%SystemDrive% 例如) 。
有关在 AppLocker 事件日志中查找的内容的信息,请参阅 使用 AppLocker 监视应用使用情况。
注意
AppLocker 事件日志非常详细,根据部署的策略,可能会导致大量事件,尤其是在 AppLocker - EXE 和 DLL 事件日志中。 如果使用事件转发和收集服务(如 LogAnalytics),可能需要调整该事件日志的配置,以仅收集错误事件或完全停止从该日志收集事件。
查看 Windows 事件查看器 中的 AppLocker 日志
- 打开事件查看器。
- 在控制台树中的 “应用程序和服务日志\Microsoft\Windows”下,选择“ AppLocker”。
下表包含有关可用于确定受 AppLocker 规则影响的应用的事件的信息。
| 事件 ID | 级别 | 事件消息 | 描述 |
|---|---|---|---|
| 8000 | 错误 | AppID 策略转换失败。 状态 * <%1> * | 指示策略未正确应用于计算机。 提供状态消息是为了进行故障排除。 |
| 8001 | 信息 | AppLocker 策略已成功应用于此计算机。 | 指示 AppLocker 策略已成功应用于计算机。 |
| 8002 | 信息 | *<文件名> * 已允许运行。 | 指示 AppLocker 规则允许 .exe 或 .dll 文件。 |
| 8003 | 警告 | *<文件名> * 被允许运行,但如果强制执行 AppLocker 策略,则会阻止运行。 | 仅在启用 “仅审核 ”强制模式时显示。 指示如果强制模式设置为“ 强制规则”,AppLocker 策略将阻止 .exe 或 .dll 文件。 |
| 8004 | 错误 | *<文件名> * 已阻止运行。 | AppLocker 阻止了命名的 EXE 或 DLL 文件。 仅在启用 “强制实施规则” 模式时显示。 |
| 8005 | 信息 | *<文件名> * 已允许运行。 | 指示 AppLocker 规则允许脚本或 .msi 文件。 |
| 8006 | 警告 | *<文件名> * 被允许运行,但如果强制执行 AppLocker 策略,则会阻止运行。 | 仅在启用 “仅审核 ”强制模式时显示。 指示如果启用了 “强制实施规则” 模式,AppLocker 策略将阻止脚本或 .msi 文件。 |
| 8007 | 错误 | *<文件名> * 已阻止运行。 | AppLocker 阻止了命名的脚本或 MSI。 仅在启用 “强制实施规则” 模式时显示。 |
| 8008 | 警告 | *<文件名> *:AppLocker 组件在此 SKU 上不可用。 | 指示不支持 AppLocker 的 Windows 版本。 |
| 8020 | 信息 | *<文件名> * 已允许运行。 | 在 Windows Server 2012 和 Windows 8 中添加。 |
| 8021 | 警告 | *<文件名> * 被允许运行,但如果强制执行 AppLocker 策略,则会阻止运行。 | 在 Windows Server 2012 和 Windows 8 中添加。 |
| 8022 | 错误 | *<文件名> * 已阻止运行。 | 在 Windows Server 2012 和 Windows 8 中添加。 |
| 8023 | 信息 | *<文件名> * 被允许安装。 | 在 Windows Server 2012 和 Windows 8 中添加。 |
| 8024 | 警告 | *<文件名> * 被允许运行,但如果强制执行 AppLocker 策略,则会阻止运行。 | 在 Windows Server 2012 和 Windows 8 中添加。 |
| 8025 | 错误 | *<文件名> * 已阻止运行。 | 在 Windows Server 2012 和 Windows 8 中添加。 |
| 8027 | 错误 | 强制执行 Exe 规则且未配置打包应用规则时,无法执行打包的应用。 | 在 Windows Server 2012 和 Windows 8 中添加。 |
| 8028 | 警告 | *<文件名> * 被允许运行,但如果强制实施 Config CI 策略,则会被阻止。 | 在 Windows Server 2016 和 Windows 10 中添加。 |
| 8029 | 错误 | *<文件名> * 由于配置 CI 策略而无法运行。 | 在 Windows Server 2016 和 Windows 10 中添加。 |
| 8030 | 信息 | Appid 验证期间 ManagedInstaller 检查 SUCCEEDED * | 在 Windows Server 2016 和 Windows 10 中添加。 |
| 8031 | 信息 | SmartlockerFilter 检测到文件 * 正在由进程写入 * | 在 Windows Server 2016 和 Windows 10 中添加。 |
| 8032 | 错误 | Appid 验证期间 ManagedInstaller 检查 FAILED * | 在 Windows Server 2016 和 Windows 10 中添加。 |
| 8033 | 警告 | 在 * 的 Appid 验证期间,ManagedInstaller 检查 FAILED。 由于审核 AppLocker 策略,允许运行。 | 在 Windows Server 2016 和 Windows 10 中添加。 |
| 8034 | 信息 | Appid 验证期间 ManagedInstaller 脚本检查失败 * | 在 Windows Server 2016 和 Windows 10 中添加。 |
| 8035 | 错误 | 在 Appid 验证期间,ManagedInstaller 脚本检查 SUCCEEDED * | 在 Windows Server 2016 和 Windows 10 中添加。 |
| 8036 | 错误 | * 由于配置 CI 策略而无法运行 | 在 Windows Server 2016 和 Windows 10 中添加。 |
| 8037 | 信息 | * 已传递配置 CI 策略,并允许运行。 | 在 Windows Server 2016 和 Windows 10 中添加。 |
| 8038 | 信息 | 发布者信息: 主题: * 颁发者: * 签名索引 * (* 总) | 在 Windows Server 2016 和 Windows 10 中添加。 |
| 8039 | 警告 | 包系列名称 * 版本 * 被允许安装或更新,但如果配置 CI 策略,则会被阻止 | 在 Windows Server 2016 和 Windows 10 中添加。 |
| 8040 | 错误 | 由于配置 CI 策略,包系列名称 * 版本 * 已阻止安装或更新 | 在 Windows Server 2016 和 Windows 10 中添加。 |