Использование средства просмотра событий c AppLocker
В этой статье перечислены события AppLocker и описано использование средства просмотра событий с AppLocker.
Журнал AppLocker содержит сведения о приложениях, на которые влияют правила AppLocker. Каждое событие в журнале содержит следующую подробную информацию.
Затронутый файл и путь к этому файлу.
Затронутое упакованное приложение и идентификатор пакета этого приложения.
Разрешен ли или блокируется файл или упакованное приложение.
Тип правила (путь, хеш файла или издатель).
Имя правила.
Идентификатор безопасности (SID) для пользователя или группы, указанных в правиле.
Изучите записи в средстве просмотра событий, чтобы определить, существуют ли приложения, не включенные в автоматически созданные правила. Например, некоторые бизнес-приложения устанавливаются в нестандартные расположения, например в корневую папку активного диска (пример: %SystemDrive%).
Сведения о том, какие сведения содержатся в журналах событий AppLocker, см. в разделе Мониторинг использования приложений с помощью AppLocker.
Просмотр журнала AppLocker в средстве просмотра событий
Откройте средство просмотра событий.
В дереве консоли в разделе Журналы приложения и служб\Microsoft\Windows щелкните AppLocker.
В следующей таблице содержится информация о событиях, с помощью которых можно определить, на какие приложения повлияли правила AppLocker.
ИД события | Уровень | Сообщение события | Описание |
---|---|---|---|
8000 |
Ошибка |
Сбой преобразования политики удостоверения приложения. Состояние <%1> |
Указывает, что политика не была правильно применена на компьютере. Сообщение о состоянии предоставляется для диагностики и устранения проблем. |
8001 |
Сведения |
Политика AppLocker была успешно применена на этом компьютере. |
Указывает, что политика AppLocker была успешно применена на этом компьютере. |
8002 |
Сведения |
Выполнение <File name> было разрешено. |
Указывает, что EXE- или DLL-файл было разрешено запустить согласно правилу AppLocker. |
8003 |
Предупреждение |
Выполнение <File name> было разрешено, но оно могло быть запрещено, если бы использовалась политика AppLocker. |
Применяется только с включенным режимом Только аудит. Указывает, что EXE- или DLL-файл был бы блокирован, если бы был включен режим Принудительное применение правил. |
8004 |
Ошибка |
<File name> не разрешено запустить. |
Доступ к <file name> ограничен администратором. Применяется, только если режим Принудительное применение правил задан непосредственно или опосредовано через наследование групповой политики. Невозможно запустить EXE- или DLL-файл. |
8005 |
Сведения |
Выполнение <File name> было разрешено. |
Указывает, что скрипт или MSI-файл разрешено запустить согласно правилу AppLocker. |
8006 |
Предупреждение |
Выполнение <File name> было разрешено, но оно могло быть запрещено, если бы использовалась политика AppLocker. |
Применяется только с включенным режимом Только аудит. Указывает, что скрипт или MSI-файл был бы блокирован, если бы был включен режим Принудительное применение правил. |
8007 |
Ошибка |
<File name> не разрешено запустить. |
Доступ к <file name> ограничен администратором. Применяется, только если режим Принудительное применение правил задан непосредственно или опосредовано через наследование групповой политики. Скрипт или MSI-файл запустить невозможно. |
8007 |
Ошибка |
AppLocker отключен в SKU. |
Добавлено в Windows Server 2012 и Windows 8. |
8020 |
Сведения |
Упакованное приложение разрешено. |
Добавлено в Windows Server 2012 и Windows 8. |
8021 |
Сведения |
Упакованное приложение проходит аудит. |
Добавлено в Windows Server 2012 и Windows 8. |
8022 |
Сведения |
Упакованное приложение отключено. |
Добавлено в Windows Server 2012 и Windows 8. |
8023 |
Сведения |
Разрешена установка упакованного приложения. |
Добавлено в Windows Server 2012 и Windows 8. |
8024 |
Сведения |
Проводится аудит установки упакованного приложения. |
Добавлено в Windows Server 2012 и Windows 8. |
8025 |
Предупреждение |
Установка упакованного приложения отключена. |
Добавлено в Windows Server 2012 и Windows 8. |
8027 |
Предупреждение |
Правило для упакованного приложения не настроено. |
Добавлено в Windows Server 2012 и Windows 8. |