将事件查看器与 AppLocker 一起使用

本文列出了 AppLocker 事件,并介绍如何将事件查看器与 AppLocker 配合使用。

AppLocker 日志包含有关受 AppLocker 规则影响的应用程序的信息。 日志中的每个事件都包含详细信息,例如以下信息:

  • 受影响的文件以及该文件的路径
  • 受影响的打包应用以及应用的包标识符
  • 是允许还是阻止文件或打包的应用
  • 规则类型 (路径、文件哈希或发布者)
  • 规则名称
  • 规则中标识的用户或组的安全标识符 (SID)

查看事件查看器中的条目,以确定自动生成的规则中是否未包含任何应用程序。 例如,某些业务线应用安装到非标准位置,例如活动驱动器的根目录 (%SystemDrive% 例如) 。

有关在 AppLocker 事件日志中查找的内容的信息,请参阅 使用 AppLocker 监视应用使用情况

注意

AppLocker 事件日志非常详细,根据部署的策略,可能会导致大量事件,尤其是在 AppLocker - EXE 和 DLL 事件日志中。 如果使用事件转发和收集服务(如 LogAnalytics),可能需要调整该事件日志的配置,以仅收集错误事件或完全停止从该日志收集事件。

查看 Windows 事件查看器 中的 AppLocker 日志

  1. 打开事件查看器。
  2. 在控制台树中的 “应用程序和服务日志\Microsoft\Windows”下,选择“ AppLocker”。

下表包含有关可用于确定受 AppLocker 规则影响的应用的事件的信息。

事件 ID 级别 事件消息 描述
8000 错误 AppID 策略转换失败。 状态 * <%1> * 指示策略未正确应用于计算机。 提供状态消息是为了进行故障排除。
8001 信息 AppLocker 策略已成功应用于此计算机。 指示 AppLocker 策略已成功应用于计算机。
8002 信息 *<文件名> * 已允许运行。 指示 AppLocker 规则允许 .exe 或 .dll 文件。
8003 警告 *<文件名> * 被允许运行,但如果强制执行 AppLocker 策略,则会阻止运行。 仅在启用 “仅审核 ”强制模式时显示。 指示如果强制模式设置为“ 强制规则”,AppLocker 策略将阻止 .exe 或 .dll 文件。
8004 错误 *<文件名> * 已阻止运行。 AppLocker 阻止了命名的 EXE 或 DLL 文件。 仅在启用 “强制实施规则” 模式时显示。
8005 信息 *<文件名> * 已允许运行。 指示 AppLocker 规则允许脚本或 .msi 文件。
8006 警告 *<文件名> * 被允许运行,但如果强制执行 AppLocker 策略,则会阻止运行。 仅在启用 “仅审核 ”强制模式时显示。 指示如果启用了 “强制实施规则” 模式,AppLocker 策略将阻止脚本或 .msi 文件。
8007 错误 *<文件名> * 已阻止运行。 AppLocker 阻止了命名的脚本或 MSI。 仅在启用 “强制实施规则” 模式时显示。
8008 警告 *<文件名> *:AppLocker 组件在此 SKU 上不可用。 指示不支持 AppLocker 的 Windows 版本。
8020 信息 *<文件名> * 已允许运行。 在 Windows Server 2012 和 Windows 8 中添加。
8021 警告 *<文件名> * 被允许运行,但如果强制执行 AppLocker 策略,则会阻止运行。 在 Windows Server 2012 和 Windows 8 中添加。
8022 错误 *<文件名> * 已阻止运行。 在 Windows Server 2012 和 Windows 8 中添加。
8023 信息 *<文件名> * 被允许安装。 在 Windows Server 2012 和 Windows 8 中添加。
8024 警告 *<文件名> * 被允许运行,但如果强制执行 AppLocker 策略,则会阻止运行。 在 Windows Server 2012 和 Windows 8 中添加。
8025 错误 *<文件名> * 已阻止运行。 在 Windows Server 2012 和 Windows 8 中添加。
8027 错误 强制执行 Exe 规则且未配置打包应用规则时,无法执行打包的应用。 在 Windows Server 2012 和 Windows 8 中添加。
8028 警告 *<文件名> * 被允许运行,但如果强制实施 Config CI 策略,则会被阻止。 在 Windows Server 2016 和 Windows 10 中添加。
8029 错误 *<文件名> * 由于配置 CI 策略而无法运行。 在 Windows Server 2016 和 Windows 10 中添加。
8030 信息 Appid 验证期间 ManagedInstaller 检查 SUCCEEDED * 在 Windows Server 2016 和 Windows 10 中添加。
8031 信息 SmartlockerFilter 检测到文件 * 正在由进程写入 * 在 Windows Server 2016 和 Windows 10 中添加。
8032 错误 Appid 验证期间 ManagedInstaller 检查 FAILED * 在 Windows Server 2016 和 Windows 10 中添加。
8033 警告 在 * 的 Appid 验证期间,ManagedInstaller 检查 FAILED。 由于审核 AppLocker 策略,允许运行。 在 Windows Server 2016 和 Windows 10 中添加。
8034 信息 Appid 验证期间 ManagedInstaller 脚本检查失败 * 在 Windows Server 2016 和 Windows 10 中添加。
8035 错误 在 Appid 验证期间,ManagedInstaller 脚本检查 SUCCEEDED * 在 Windows Server 2016 和 Windows 10 中添加。
8036 错误 * 由于配置 CI 策略而无法运行 在 Windows Server 2016 和 Windows 10 中添加。
8037 信息 * 已传递配置 CI 策略,并允许运行。 在 Windows Server 2016 和 Windows 10 中添加。
8038 信息 发布者信息: 主题: * 颁发者: * 签名索引 * (* 总) 在 Windows Server 2016 和 Windows 10 中添加。
8039 警告 包系列名称 * 版本 * 被允许安装或更新,但如果配置 CI 策略,则会被阻止 在 Windows Server 2016 和 Windows 10 中添加。
8040 错误 由于配置 CI 策略,包系列名称 * 版本 * 已阻止安装或更新 在 Windows Server 2016 和 Windows 10 中添加。