AppLocker でのイベント ビューアーの使用
このトピックでは、AppLocker イベントの一覧を示し、AppLocker でイベント ビューアーを使用する方法について説明します。
AppLocker のログには、AppLocker 規則の影響を受けるアプリケーションに関する情報が含まれます。ログ内の各イベントには、次のような詳細情報が含まれています。
影響を受けるファイルとそのパス
影響を受けるパッケージ アプリと、そのアプリのパッケージ識別子
ファイルまたはパッケージ アプリが許可されているかブロックされているか
規則の種類 (パス、ファイル ハッシュ、または発行元)
規則名
規則に指定されたユーザーまたはグループのセキュリティ識別子 (SID)
イベント ビューアーでエントリを確認して、自動的に生成された規則に含まれないアプリケーションがあるかどうかを確認します。たとえば、基幹業務アプリの中には、標準以外の場所 (%SystemDrive% のようなアクティブなドライブのルートなど) にインストールされるものがあります。
AppLocker イベント ログで何を確認すればよいかについては、「AppLocker を使用したアプリ使用状況の監視」をご覧ください。
イベント ビューアーで AppLocker ログを確認するには
イベント ビューアーを開きます。
コンソール ツリーの [アプリケーションとサービス ログ]、[Microsoft]、[Windows] の順に展開し、[AppLocker] をクリックします。
次の表に、AppLocker 規則の影響を受けるアプリを特定するために使用できるイベントの情報を示します。
イベント ID | レベル | イベント メッセージ | 説明 |
---|---|---|---|
8000 |
エラー |
アプリケーション ID ポリシーの変換に失敗しました。状態 <%1> |
ポリシーがコンピューターに正しく適用されなかったことを示します。状態メッセージは、トラブルシューティングの目的で提供されます。 |
8001 |
情報 |
このコンピューターに対して AppLocker ポリシーが正常に適用されました。 |
AppLocker ポリシーがコンピューターに正しく適用されていることを示します。 |
8002 |
情報 |
<File name> は実行を許可されました。 |
.exe または .dll ファイルが AppLocker 規則によって許可されていることを指定します。 |
8003 |
警告 |
<File name> は実行を許可されましたが、AppLocker ポリシーが適用されていれば実行を許可されなかった可能性があります。 |
[監査のみ] 実施モードが有効な場合にのみ適用されます。[規則の実施] 実施モードが有効な場合にのみ、.exe または .dll ファイルがブロックされることを指定します。 |
8004 |
エラー |
<File name> は実行を許可されませんでした。 |
<file name> へのアクセスは管理者によって制限されます。[規則の実施] 実施モードが直接、あるいはグループ ポリシー継承によって間接的に設定されている場合にのみ適用されます。.exe または .dll ファイルは実行できません。 |
8005 |
情報 |
<File name> は実行を許可されました。 |
スクリプトまたは .msi ファイルが AppLocker 規則によって許可されていることを指定します。 |
8006 |
警告 |
<File name> は実行を許可されましたが、AppLocker ポリシーが適用されていれば実行を許可されなかった可能性があります。 |
[監査のみ] 実施モードが有効な場合にのみ適用されます。[規則の実施] 実施モードが有効な場合にのみ、スクリプトまたは .msi ファイルがブロックされることを指定します。 |
8007 |
エラー |
<File name> は実行を許可されませんでした。 |
<file name> へのアクセスは管理者によって制限されます。[規則の実施] 実施モードが直接、あるいはグループ ポリシー継承によって間接的に設定されている場合にのみ適用されます。スクリプトまたは .msi ファイルは実行できません。 |
8007 |
エラー |
AppLocker はこの SKU 内では無効です。 |
Windows Server 2012 および Windows 8 に追加されました。 |
8020 |
情報 |
パッケージ アプリは許可されています。 |
Windows Server 2012 および Windows 8 に追加されました。 |
8021 |
情報 |
パッケージ アプリは監査されています。 |
Windows Server 2012 および Windows 8 に追加されました。 |
8022 |
情報 |
パッケージ アプリは無効です。 |
Windows Server 2012 および Windows 8 に追加されました。 |
8023 |
情報 |
パッケージ アプリのインストールは許可されています。 |
Windows Server 2012 および Windows 8 に追加されました。 |
8024 |
情報 |
パッケージ アプリのインストールは監査されます。 |
Windows Server 2012 および Windows 8 に追加されました。 |
8025 |
警告 |
パッケージ アプリのインストールは無効です。 |
Windows Server 2012 および Windows 8 に追加されました。 |
8027 |
警告 |
パッケージ アプリ規則は構成されていません。 |
Windows Server 2012 および Windows 8 に追加されました。 |