Uso del Visualizzatore eventi con AppLocker
Questo articolo elenca gli eventi di AppLocker e descrive come usare Visualizzatore eventi con AppLocker.
Il log di AppLocker contiene informazioni sulle applicazioni interessate dalle regole di AppLocker. Ogni evento nel log contiene dettagli, ad esempio le informazioni seguenti:
- Quale file è interessato e il percorso di tale file
- Quale app in pacchetto è interessata e l'identificatore del pacchetto dell'app
- Indica se il file o l'app in pacchetto è consentito o bloccato
- Tipo di regola (percorso, hash del file o editore)
- Nome della regola
- Identificatore di sicurezza (SID) per l'utente o il gruppo identificato nella regola
Esaminare le voci nel Visualizzatore eventi per determinare se le applicazioni non sono incluse nelle regole generate automaticamente. Ad esempio, alcune app line-of-business vengono installate in posizioni non standard, ad esempio la radice dell'unità attiva , %SystemDrive%ad esempio .
Per informazioni su cosa cercare nei log eventi di AppLocker, vedi Monitorare l'utilizzo delle app con AppLocker.
Nota
I log eventi di AppLocker sono molto dettagliati e possono generare un numero elevato di eventi a seconda dei criteri distribuiti, in particolare nel registro eventi AppLocker - EXE e DLL . Se si usa un servizio di inoltro e raccolta di eventi, ad esempio LogAnalytics, è possibile modificare la configurazione per il registro eventi in modo da raccogliere solo gli eventi di errore o interrompere completamente la raccolta di eventi da tale log.
Esaminare i log di AppLocker in Windows Visualizzatore eventi
- Apri il Visualizzatore eventi.
- Nell'albero della console in Registri applicazioni e servizi\Microsoft\Windows selezionare AppLocker.
La tabella seguente contiene informazioni sugli eventi che è possibile usare per determinare le app interessate dalle regole di AppLocker.
| ID evento | Livello | Messaggio di evento | Descrizione |
|---|---|---|---|
| 8000 | Errore | Conversione dei criteri AppID non riuscita. Stato * <%1> * | Indica che i criteri non sono stati applicati correttamente al computer. Il messaggio di stato viene fornito a scopo di risoluzione dei problemi. |
| 8001 | Informazioni | I criteri di AppLocker sono stati applicati correttamente al computer. | Indica che i criteri di AppLocker sono stati applicati correttamente al computer. |
| 8002 | Informazioni | *<Nome> file * è stato consentito l'esecuzione. | Indica che una regola di AppLocker ha consentito il file .exe o .dll. |
| 8003 | Warning | *<Nome> file * è stato consentito l'esecuzione, ma sarebbe stato impedito l'esecuzione se i criteri di AppLocker fossero stati applicati. | Viene visualizzata solo quando è abilitata la modalità di imposizione Solo controllo . Indica che i criteri di AppLocker bloccano il file .exe o .dll se l'impostazione della modalità di imposizione è Imponi regole. |
| 8004 | Errore | *<Nome> file * non è stato eseguito. | AppLocker ha bloccato il file EXE o DLL denominato. Viene visualizzata solo quando è abilitata la modalità di imposizione delle regole . |
| 8005 | Informazioni | *<Nome> file * è stato consentito l'esecuzione. | Indica che una regola di AppLocker ha consentito lo script o il file .msi. |
| 8006 | Warning | *<Nome> file * è stato consentito l'esecuzione, ma sarebbe stato impedito l'esecuzione se i criteri di AppLocker fossero stati applicati. | Viene visualizzata solo quando è abilitata la modalità di imposizione Solo controllo . Indica che i criteri di AppLocker bloccano lo script o .msi file se è stata abilitata la modalità di imposizione delle regole . |
| 8007 | Errore | *<Nome> file * non è stato eseguito. | AppLocker ha bloccato lo script o l'identità del servizio gestito denominato. Viene visualizzata solo quando è abilitata la modalità di imposizione delle regole . |
| 8008 | Warning | *<Nome> file *: componente AppLocker non disponibile in questo SKU. | Indica un'edizione di Windows che non supporta AppLocker. |
| 8020 | Informazioni | *<Nome> file * è stato consentito l'esecuzione. | Aggiunta in Windows Server 2012 e Windows 8. |
| 8021 | Warning | *<Nome> file * è stato consentito l'esecuzione, ma sarebbe stato impedito l'esecuzione se i criteri di AppLocker fossero stati applicati. | Aggiunta in Windows Server 2012 e Windows 8. |
| 8022 | Errore | *<Nome> file * non è stato eseguito. | Aggiunta in Windows Server 2012 e Windows 8. |
| 8023 | Informazioni | *<Nome> file * è stato consentito l'installazione. | Aggiunta in Windows Server 2012 e Windows 8. |
| 8024 | Warning | *<Nome> file * è stato consentito l'esecuzione, ma sarebbe stato impedito l'esecuzione se i criteri di AppLocker fossero stati applicati. | Aggiunta in Windows Server 2012 e Windows 8. |
| 8025 | Errore | *<Nome> file * non è stato eseguito. | Aggiunta in Windows Server 2012 e Windows 8. |
| 8027 | Errore | Non è possibile eseguire app in pacchetto durante l'applicazione delle regole exe e non sono state configurate regole dell'app in pacchetto. | Aggiunta in Windows Server 2012 e Windows 8. |
| 8028 | Warning | *<Nome> file * è stato consentito l'esecuzione, ma sarebbe stato impedito se fossero stati applicati i criteri di integrazione continua di configurazione. | Aggiunta in Windows Server 2016 e Windows 10. |
| 8029 | Errore | *<Nome> file * non è stato eseguito a causa dei criteri di integrazione continua di configurazione. | Aggiunta in Windows Server 2016 e Windows 10. |
| 8030 | Informazioni | ManagedInstaller check SUCCEEDED durante la verifica appid di * | Aggiunta in Windows Server 2016 e Windows 10. |
| 8031 | Informazioni | SmartlockerFilter ha rilevato il file * scritto dal processo * | Aggiunta in Windows Server 2016 e Windows 10. |
| 8032 | Errore | Controllo ManagedInstaller NON RIUSCITO durante la verifica appid di * | Aggiunta in Windows Server 2016 e Windows 10. |
| 8033 | Warning | Controllo ManagedInstaller NON RIUSCITO durante la verifica appid di * . Consentito per l'esecuzione a causa del controllo dei criteri di AppLocker. | Aggiunta in Windows Server 2016 e Windows 10. |
| 8034 | Informazioni | Controllo dello script ManagedInstaller NON RIUSCITO durante la verifica dell'ID app di * | Aggiunta in Windows Server 2016 e Windows 10. |
| 8035 | Errore | ManagedInstaller Script check SUCCEEDED durante la verifica appid di * | Aggiunta in Windows Server 2016 e Windows 10. |
| 8036 | Errore | * è stato impedito l'esecuzione a causa dei criteri di integrazione continua di configurazione | Aggiunta in Windows Server 2016 e Windows 10. |
| 8037 | Informazioni | * ha superato i criteri di integrazione continua di configurazione ed è stato consentito l'esecuzione. | Aggiunta in Windows Server 2016 e Windows 10. |
| 8038 | Informazioni | Informazioni sul server di pubblicazione: Oggetto: * Autorità di certificazione: * Indice della firma * (* totale) | Aggiunta in Windows Server 2016 e Windows 10. |
| 8039 | Warning | Il nome della famiglia di pacchetti * versione * è stato consentito per l'installazione o l'aggiornamento, ma sarebbe stato impedito se il criterio di integrazione continua di configurazione | Aggiunta in Windows Server 2016 e Windows 10. |
| 8040 | Errore | Il nome della famiglia di pacchetti * versione * non è stato consentito l'installazione o l'aggiornamento a causa dei criteri di integrazione continua di configurazione | Aggiunta in Windows Server 2016 e Windows 10. |