Condividi tramite


Uso del Visualizzatore eventi con AppLocker

Questo articolo elenca gli eventi di AppLocker e descrive come usare Visualizzatore eventi con AppLocker.

Il log di AppLocker contiene informazioni sulle applicazioni interessate dalle regole di AppLocker. Ogni evento nel log contiene dettagli, ad esempio le informazioni seguenti:

  • Quale file è interessato e il percorso di tale file
  • Quale app in pacchetto è interessata e l'identificatore del pacchetto dell'app
  • Indica se il file o l'app in pacchetto è consentito o bloccato
  • Tipo di regola (percorso, hash del file o editore)
  • Nome della regola
  • Identificatore di sicurezza (SID) per l'utente o il gruppo identificato nella regola

Esaminare le voci nel Visualizzatore eventi per determinare se le applicazioni non sono incluse nelle regole generate automaticamente. Ad esempio, alcune app line-of-business vengono installate in posizioni non standard, ad esempio la radice dell'unità attiva , %SystemDrive%ad esempio .

Per informazioni su cosa cercare nei log eventi di AppLocker, vedi Monitorare l'utilizzo delle app con AppLocker.

Nota

I log eventi di AppLocker sono molto dettagliati e possono generare un numero elevato di eventi a seconda dei criteri distribuiti, in particolare nel registro eventi AppLocker - EXE e DLL . Se si usa un servizio di inoltro e raccolta di eventi, ad esempio LogAnalytics, è possibile modificare la configurazione per il registro eventi in modo da raccogliere solo gli eventi di errore o interrompere completamente la raccolta di eventi da tale log.

Esaminare i log di AppLocker in Windows Visualizzatore eventi

  1. Apri il Visualizzatore eventi.
  2. Nell'albero della console in Registri applicazioni e servizi\Microsoft\Windows selezionare AppLocker.

La tabella seguente contiene informazioni sugli eventi che è possibile usare per determinare le app interessate dalle regole di AppLocker.

ID evento Livello Messaggio di evento Descrizione
8000 Errore Conversione dei criteri AppID non riuscita. Stato * <%1> * Indica che i criteri non sono stati applicati correttamente al computer. Il messaggio di stato viene fornito a scopo di risoluzione dei problemi.
8001 Informazioni I criteri di AppLocker sono stati applicati correttamente al computer. Indica che i criteri di AppLocker sono stati applicati correttamente al computer.
8002 Informazioni *<Nome> file * è stato consentito l'esecuzione. Indica che una regola di AppLocker ha consentito il file .exe o .dll.
8003 Warning *<Nome> file * è stato consentito l'esecuzione, ma sarebbe stato impedito l'esecuzione se i criteri di AppLocker fossero stati applicati. Viene visualizzata solo quando è abilitata la modalità di imposizione Solo controllo . Indica che i criteri di AppLocker bloccano il file .exe o .dll se l'impostazione della modalità di imposizione è Imponi regole.
8004 Errore *<Nome> file * non è stato eseguito. AppLocker ha bloccato il file EXE o DLL denominato. Viene visualizzata solo quando è abilitata la modalità di imposizione delle regole .
8005 Informazioni *<Nome> file * è stato consentito l'esecuzione. Indica che una regola di AppLocker ha consentito lo script o il file .msi.
8006 Warning *<Nome> file * è stato consentito l'esecuzione, ma sarebbe stato impedito l'esecuzione se i criteri di AppLocker fossero stati applicati. Viene visualizzata solo quando è abilitata la modalità di imposizione Solo controllo . Indica che i criteri di AppLocker bloccano lo script o .msi file se è stata abilitata la modalità di imposizione delle regole .
8007 Errore *<Nome> file * non è stato eseguito. AppLocker ha bloccato lo script o l'identità del servizio gestito denominato. Viene visualizzata solo quando è abilitata la modalità di imposizione delle regole .
8008 Warning *<Nome> file *: componente AppLocker non disponibile in questo SKU. Indica un'edizione di Windows che non supporta AppLocker.
8020 Informazioni *<Nome> file * è stato consentito l'esecuzione. Aggiunta in Windows Server 2012 e Windows 8.
8021 Warning *<Nome> file * è stato consentito l'esecuzione, ma sarebbe stato impedito l'esecuzione se i criteri di AppLocker fossero stati applicati. Aggiunta in Windows Server 2012 e Windows 8.
8022 Errore *<Nome> file * non è stato eseguito. Aggiunta in Windows Server 2012 e Windows 8.
8023 Informazioni *<Nome> file * è stato consentito l'installazione. Aggiunta in Windows Server 2012 e Windows 8.
8024 Warning *<Nome> file * è stato consentito l'esecuzione, ma sarebbe stato impedito l'esecuzione se i criteri di AppLocker fossero stati applicati. Aggiunta in Windows Server 2012 e Windows 8.
8025 Errore *<Nome> file * non è stato eseguito. Aggiunta in Windows Server 2012 e Windows 8.
8027 Errore Non è possibile eseguire app in pacchetto durante l'applicazione delle regole exe e non sono state configurate regole dell'app in pacchetto. Aggiunta in Windows Server 2012 e Windows 8.
8028 Warning *<Nome> file * è stato consentito l'esecuzione, ma sarebbe stato impedito se fossero stati applicati i criteri di integrazione continua di configurazione. Aggiunta in Windows Server 2016 e Windows 10.
8029 Errore *<Nome> file * non è stato eseguito a causa dei criteri di integrazione continua di configurazione. Aggiunta in Windows Server 2016 e Windows 10.
8030 Informazioni ManagedInstaller check SUCCEEDED durante la verifica appid di * Aggiunta in Windows Server 2016 e Windows 10.
8031 Informazioni SmartlockerFilter ha rilevato il file * scritto dal processo * Aggiunta in Windows Server 2016 e Windows 10.
8032 Errore Controllo ManagedInstaller NON RIUSCITO durante la verifica appid di * Aggiunta in Windows Server 2016 e Windows 10.
8033 Warning Controllo ManagedInstaller NON RIUSCITO durante la verifica appid di * . Consentito per l'esecuzione a causa del controllo dei criteri di AppLocker. Aggiunta in Windows Server 2016 e Windows 10.
8034 Informazioni Controllo dello script ManagedInstaller NON RIUSCITO durante la verifica dell'ID app di * Aggiunta in Windows Server 2016 e Windows 10.
8035 Errore ManagedInstaller Script check SUCCEEDED durante la verifica appid di * Aggiunta in Windows Server 2016 e Windows 10.
8036 Errore * è stato impedito l'esecuzione a causa dei criteri di integrazione continua di configurazione Aggiunta in Windows Server 2016 e Windows 10.
8037 Informazioni * ha superato i criteri di integrazione continua di configurazione ed è stato consentito l'esecuzione. Aggiunta in Windows Server 2016 e Windows 10.
8038 Informazioni Informazioni sul server di pubblicazione: Oggetto: * Autorità di certificazione: * Indice della firma * (* totale) Aggiunta in Windows Server 2016 e Windows 10.
8039 Warning Il nome della famiglia di pacchetti * versione * è stato consentito per l'installazione o l'aggiornamento, ma sarebbe stato impedito se il criterio di integrazione continua di configurazione Aggiunta in Windows Server 2016 e Windows 10.
8040 Errore Il nome della famiglia di pacchetti * versione * non è stato consentito l'installazione o l'aggiornamento a causa dei criteri di integrazione continua di configurazione Aggiunta in Windows Server 2016 e Windows 10.