Usando o Visualizador de Eventos com o AppLocker
Este artigo lista eventos AppLocker e descreve como usar Visualizador de Eventos com o AppLocker.
O log do AppLocker contém informações sobre aplicativos afetados pelas regras do AppLocker. Cada evento no log contém detalhes como as seguintes informações:
- Qual arquivo é afetado e o caminho desse arquivo
- Qual aplicativo empacotado é afetado e o identificador de pacote do aplicativo
- Se o arquivo ou aplicativo empacotado é permitido ou bloqueado
- O tipo de regra (caminho, hash de arquivo ou editor)
- O nome da regra
- O SID (identificador de segurança) para o usuário ou grupo identificado na regra
Examine as entradas no Visualizador de Eventos para determinar se algum aplicativo não está incluído nas regras geradas automaticamente. Por exemplo, alguns aplicativos de linha de negócios são instalados em locais não padrão, como a raiz da unidade ativa (por exemplo, %SystemDrive%).
Para obter informações sobre o que procurar nos logs de eventos do AppLocker, consulte Monitorar o uso do aplicativo com o AppLocker.
Observação
Os logs de eventos do AppLocker são muito verbosos e podem resultar em um grande número de eventos dependendo das políticas implantadas, especialmente no log de eventos AppLocker - EXE e DLL . Se você estiver usando um serviço de encaminhamento e coleta de eventos, como LogAnalytics, talvez queira ajustar a configuração desse log de eventos para coletar apenas eventos de erro ou parar de coletar eventos desse log completamente.
Examine os logs do AppLocker no Windows Visualizador de Eventos
- Abra o Visualizador de Eventos.
- Na árvore de console em Logs de Aplicativos e Serviços\Microsoft\Windows, selecione AppLocker.
A tabela a seguir contém informações sobre os eventos que você pode usar para determinar os aplicativos afetados pelas regras do AppLocker.
| ID do evento | Nível | Mensagem de evento | Descrição |
|---|---|---|---|
| 8000 | Erro | Falha na conversão de política do AppID. Status * <%1> * | Indica que a política não foi aplicada corretamente ao computador. A mensagem status é fornecida para fins de solução de problemas. |
| 8001 | Informações do | A política AppLocker foi aplicada com êxito a este computador. | Indica que a política AppLocker foi aplicada com êxito ao computador. |
| 8002 | Informações do | *<Nome> do arquivo * foi permitido executar. | Indica que uma regra AppLocker permitiu o arquivo .exe ou .dll. |
| 8003 | Aviso | *<Nome> do arquivo * foi permitido executar, mas teria sido impedido de ser executado se a política AppLocker fosse imposta. | Mostrado somente quando o modo de execução somente auditoria está habilitado. Indica que a política AppLocker bloquearia o arquivo .exe ou .dll se a configuração do modo de imposição fosse Impor regras. |
| 8004 | Erro | *<Nome> do arquivo * foi impedido de ser executado. | O AppLocker bloqueou o arquivo EXE ou DLL nomeado. Mostrado somente quando o modo de imposição de regras de impor está habilitado. |
| 8005 | Informações do | *<Nome> do arquivo * foi permitido executar. | Indica que uma regra AppLocker permitiu o script ou .msi arquivo. |
| 8006 | Aviso | *<Nome> do arquivo * foi permitido executar, mas teria sido impedido de ser executado se a política AppLocker fosse imposta. | Mostrado somente quando o modo de execução somente auditoria está habilitado. Indica que a política AppLocker bloquearia o script ou .msi arquivo se o modo de imposição de regras for habilitado. |
| 8007 | Erro | *<Nome> do arquivo * foi impedido de ser executado. | O AppLocker bloqueou o script ou MSI nomeado. Mostrado somente quando o modo de imposição de regras de impor está habilitado. |
| 8008 | Aviso | *<Nome do arquivo> *: componente AppLocker não disponível neste SKU. | Indica uma edição do Windows que não dá suporte ao AppLocker. |
| 8020 | Informações do | *<Nome> do arquivo * foi permitido executar. | Adicionado em Windows Server 2012 e Windows 8. |
| 8021 | Aviso | *<Nome> do arquivo * foi permitido executar, mas teria sido impedido de ser executado se a política AppLocker fosse imposta. | Adicionado em Windows Server 2012 e Windows 8. |
| 8022 | Erro | *<Nome> do arquivo * foi impedido de ser executado. | Adicionado em Windows Server 2012 e Windows 8. |
| 8023 | Informações do | *<Nome> do arquivo * foi permitido ser instalado. | Adicionado em Windows Server 2012 e Windows 8. |
| 8024 | Aviso | *<Nome> do arquivo * foi permitido executar, mas teria sido impedido de ser executado se a política AppLocker fosse imposta. | Adicionado em Windows Server 2012 e Windows 8. |
| 8025 | Erro | *<Nome> do arquivo * foi impedido de ser executado. | Adicionado em Windows Server 2012 e Windows 8. |
| 8027 | Erro | Nenhum aplicativo empacotado pode ser executado enquanto as regras do Exe estão sendo impostas e nenhuma regra de aplicativo empacotado foi configurada. | Adicionado em Windows Server 2012 e Windows 8. |
| 8028 | Aviso | *<Nome> do arquivo * foi permitido executar, mas teria sido impedido se a política de CI Config fosse imposta. | Adicionado em Windows Server 2016 e Windows 10. |
| 8029 | Erro | *<Nome> do arquivo * foi impedido de ser executado devido à política de CI de configuração. | Adicionado em Windows Server 2016 e Windows 10. |
| 8030 | Informações do | ManagedInstaller marcar SUCCEEDED durante a verificação do Appid de * | Adicionado em Windows Server 2016 e Windows 10. |
| 8031 | Informações do | Arquivo detectado smartlockerFilter * sendo gravado por processo * | Adicionado em Windows Server 2016 e Windows 10. |
| 8032 | Erro | ManagedInstaller marcar FALHA durante a verificação do Appid de * | Adicionado em Windows Server 2016 e Windows 10. |
| 8033 | Aviso | ManagedInstaller marcar FALHA durante a verificação do Appid de * . Permissão para execução devido à Política de Auditoria appLocker. | Adicionado em Windows Server 2016 e Windows 10. |
| 8034 | Informações do | ManagedInstaller Script marcar FALHA durante a verificação do Appid de * | Adicionado em Windows Server 2016 e Windows 10. |
| 8035 | Erro | ManagedInstaller Script marcar SUCCEEDED durante a verificação appid de * | Adicionado em Windows Server 2016 e Windows 10. |
| 8036 | Erro | * foi impedido de ser executado devido à política de CI de configuração | Adicionado em Windows Server 2016 e Windows 10. |
| 8037 | Informações do | * passou a política de CI de configuração e foi permitido executar. | Adicionado em Windows Server 2016 e Windows 10. |
| 8038 | Informações do | Informações do editor: Assunto: * Emissor: * Índice de assinatura * (* total) | Adicionado em Windows Server 2016 e Windows 10. |
| 8039 | Aviso | Nome da família do pacote * versão * foi permitido instalar ou atualizar, mas teria sido impedido se a política de CI Config | Adicionado em Windows Server 2016 e Windows 10. |
| 8040 | Erro | Nome da família de pacote * versão * foi impedido de instalar ou atualizar devido à política de CI de configuração | Adicionado em Windows Server 2016 e Windows 10. |
Artigos relacionados
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de