이 문서는 기계 번역을 이용하여 번역되었습니다. 문서를 영문으로 보려면 영문 확인란을 선택하세요. 마우스 포인터를 텍스트 위로 이동시켜 팝업 창에서 영문 텍스트를 표시할 수도 있습니다.
번역
영문

AppLocker로 응용 프로그램 사용 모니터링

 

적용 대상: Windows 8.1, Windows Server 2012 R2, Windows Server 2012, Windows 8

이 항목에서 AppLocker 정책이 적용 되는 경우 응용 프로그램 사용량을 모니터링 하는 방법에 설명Windows Server® 2012및Windows® 8합니다.

규칙을 설정 하 고 AppLocker 정책 배포 후 것이 좋습니다 정책 구현 예상 대로 인지 확인할 수 있습니다.

AppLocker 정책이 현재 구현 방법 정책을 수정 하기 전에 또는 설명서 또는 감사 목적으로 평가할 수 있습니다. AppLocker 정책 배포 계획 문서를 업데이트 하면 결과 추적 하는데 도움이 됩니다. 이 문서를 작성 하는 방법에 대 한 정보를 참조 하십시오.Your AppLocker 계획 문서를 만드는. 하나를 수행 하거나 어떤 응용 프로그램에서 제어를 이해 하려면 다음 단계 중 현재 AppLocker 규칙을 통해 적용 됩니다.

  • 이벤트 뷰어에서 AppLocker 로그 분석

    AppLocker 정책 적용으로 설정 되 면규칙을 적용할규칙 컬렉션에 대 한 규칙은 적용 하 고 모든 이벤트는 감사 합니다. AppLocker 정책 적용으로 설정 되 면감사만적용 되지 않은 규칙 있지만 AppLocker 로그에 기록 되는 감사 이벤트 데이터를 생성 하는 계속 평가 됩니다.

    로그에 액세스 하는 절차를 참조 하십시오.이벤트 뷰어에서 AppLocker 로그 보기합니다.

  • 감사만 AppLocker 적용 설정을 사용 하도록 설정

    사용 하 여는감사만적용 설정을 확인할 수 있습니다 조직에 대 한 AppLocker 규칙이 제대로 구성 합니다. AppLocker 정책 적용으로 설정 되 면감사만규칙은만 평가 되지만 계산에서 생성 된 모든 이벤트는 AppLocker 로그에 기록 됩니다.

    이 작업을 수행 하는 절차를 참조 하십시오.감사에 대 한 AppLocker 정책을 구성합니다.

  • Get AppLockerFileInformation 사용 하 여 AppLocker 이벤트를 검토 합니다.

    이벤트 구독 및 지역 이벤트 모두에 대해 사용할 수는Get-AppLockerFileInformation이벤트 횟수 및 파일 차단 되었습니다. 또는 차단 되었습니다. (감사 전용 적용 모드를 사용 하는) 하는 경우를 확인 하려면 Windows PowerShell cmdlet은 각 파일에 대해 발생 했습니다.

    이 작업을 수행 하는 절차를 참조 하십시오.Get AppLockerFileInformation 사용 하 여 AppLocker 이벤트를 검토 합니다.합니다.

  • 테스트 AppLockerPolicy 사용 하 여 AppLocker 이벤트를 검토 합니다.

    사용할 수는Test-AppLockerPolicy확인 하려면 Windows PowerShell cmdlet 참조 컴퓨터 또는 정책을 유지 하는 컴퓨터에서 차단 됩니다 여부 규칙 컬렉션의 규칙 중 하나를 결정 합니다.

    이 작업을 수행 하는 절차를 참조 하십시오.테스트 AppLockerPolicy를 사용 하 여 AppLocker 정책을 테스트합니다합니다.

이벤트 구독 및 지역 이벤트를 사용할 수 있습니다는Get-AppLockerFileInformation어떤 파일 차단 되었습니다. 또는 차단 되었는지 확인 하려면 Windows PowerShell cmdlet (하는 경우는감사만적용 설정이 적용 된) 및 각 파일에 대 한 이벤트가 발생 했음을 몇 번 합니다.

로컬 Administrators 그룹의 구성원이거나 이에 준하는 자격이 있어야 이 절차를 완료할 수 있습니다.

System_CAPS_note참고

AppLocker 로그는 로컬 컴퓨터에 없는 경우에 로그를 볼 수 있는 권한이 해야 합니다. 출력 파일에 저장 하면 해당 파일을 읽을 수 있는 권한을 해야 합니다.

Get AppLockerFileInformation와 AppLocker 이벤트를 검토 하려면

  1. 명령 프롬프트 창을 엽니다.

  2. 명령 프롬프트에서 입력PowerShell한 다음 ENTER를 누릅니다.

  3. 파일은 차단 되었습니다. 실행에서 규칙이 적용 된 경우를 몇 번을 검토 하려면 다음 명령을 실행 합니다.

    Get-AppLockerFileInformation –EventLog –Logname "Microsoft-Windows-AppLocker\EXE and DLL" –EventType Audited –Statistics

    System_CAPS_note참고

    이벤트 구독에 대 한 Logname 매개 변수에 대해 전달 된 이벤트 로그에 경로 지정 합니다.

  4. 파일을 실행 하거나 실행에서 허용 된 횟수를 검토 하려면 다음 명령을 실행 합니다.

    Get-AppLockerFileInformation –EventLog –Logname "Microsoft-Windows-AppLocker\EXE and DLL" –EventType Allowed –Statistics

AppLocker 정책 적용으로 설정 되 면규칙을 적용할규칙 컬렉션에 대 한 규칙은 적용 하 고 모든 이벤트는 감사 합니다. AppLocker 정책 적용으로 설정 되 면감사만규칙은만 평가 되지만 계산에서 생성 된 모든 이벤트는 AppLocker 로그에 기록 됩니다.

로컬 Administrators 그룹의 구성원이거나 이에 준하는 자격이 있어야 이 절차를 완료할 수 있습니다.

이벤트 뷰어를 사용 하 여 AppLocker 로그에 이벤트를 보려면

  1. 이벤트 뷰어를 엽니다. 이 작업을 수행 하려면시작형식eventvwr.msc프로그램 및 파일 검색상자의 한 다음 ENTER를 누릅니다.

  2. 콘솔 트리에서응용 프로그램 및 서비스 Logs\Microsoft\Windows를 두번클릭 하 여AppLocker.

AppLocker 이벤트 중 하나에 나열 됩니다는EXE 및 DLL로그는MSI와 스크립트로그 또는앱 배포 패키지또는패키징된 응용 프로그램 실행로그 합니다. 이벤트 정보에는 적용 설정, 파일 이름, 날짜 및 시간 및 사용자 이름이 포함 됩니다. 로그에서 추가 분석을 위해 다른 파일 형식으로 내보낼 수 있습니다.

표시: