如需 Application Control 的防護總覽,請參閱 使用 Application Control 鎖定軟體。如需初始設定說明,請參閱 設定 Application Control。
預設情況下,當您啟動 Application Control 時,它會記錄事件,例如當有軟體變更或阻止軟體執行時。Application Control 事件會顯示在
Actions 和 Events & Reports 頁面上。如果已配置,警報會顯示在 Alerts 頁面上。
您可以配置記錄哪些 Application Control 事件日誌,以及哪些事件日誌被轉發到外部 SIEM 系統或 syslog 伺服器。
監控電腦上的軟體變更:
步驟
選擇要記錄的 Application Control 事件 
步驟
- 前往。
- 向下滾動到 Application Control 事件,例如事件 ID 7000 "Application Control Events Exported"。
- 如果您想記錄該類事件的事件日誌,請選擇Record。當這些事件發生時,它們會顯示在。日誌會保留直到達到最大日誌年齡標準。詳情請參閱伺服器與工作負載保護中的事件收集。
注意
出現在的事件不在此配置。它們總是會被記錄。 - 如果您想將事件日誌轉發到 SIEM 或 Syslog 伺服器,請選擇 Forward。
- 如果您使用外部 SIEM,您可能需要載入可能的 Application Control 事件日誌列表,並指示要採取的行動。 有關 Application Control
事件的列表,請參見 Application Control 事件。
檢視 Application Control 事件記錄
Application Control 會產生系統事件和安全事件:
- System event: 提供配置變更或軟體更新歷史記錄的審計事件。要查看系統事件,請點選 。有關列表,請參見 系統事件。
- Security event: 當 Application Control 封鎖或允許未識別的軟體,或因封鎖規則而封鎖軟體時,代理上會發生的事件。要查看安全事件,請點選 。如需清單,請參閱 [Application Control 事件](../application-control-events.
解釋彙總的安全事件
當代理程式心跳包含多個相同安全事件的實例時,伺服器與工作負載保護 會在安全事件日誌中彙總這些事件。事件彙總可減少日誌中的項目數量,使查找重要事件變得更容易:
- 當相同檔案發生事件時,通常情況下,日誌會包含聚合事件的檔案名稱。例如,心跳包含 3 個 "允許執行未識別軟體" 事件的 Test_6_file.sh 檔案,且沒有其他該事件的實例。伺服器與工作負載保護 聚合了這 3 個 Test_6_file.sh 檔案的事件。
- 當事件發生在多個檔案時,日誌會省略規則連結、路徑、檔案名稱和使用者名稱。例如,一個心跳包含21個「允許執行未識別軟體」事件,這些事件發生在幾個不同的檔案上。伺服器與工作負載保護 將這21個事件聚合為一個事件,但不包括規則連結、路徑、檔案名稱或使用者名稱。
當彙總事件應用於多個檔案時,這些事件的其他發生情況很可能已在其他心跳中報告。在您回應其他已知檔案名稱的事件後,很可能不會再發生彙總事件。
在日誌中,彙總事件使用特殊圖示,Repeat Count 欄位表示彙總的事件數量。
監控 Application Control 警示
若要設定哪些 Application Control 事件或嚴重性級別會觸發警報,請前往 Alerts 標籤頁,點選 Configure Alerts 按鈕,然後選擇一個事件並雙擊 Properties。詳情請參閱 設定警報。
當已啟動 Application Control 事件的警報時,Application Control 引擎檢測到的任何軟體變更以及阻止執行的任何軟體都會顯示在 Alerts 標籤中。如果您已啟動 Alert Status 小工具,Application Control 警報也會顯示在資訊中心。
要監控哪些電腦處於維護模式,您也可以點選Add/Remove Widgets並啟用Application Control Maintenance Mode小工具,該小工具會顯示電腦及其預定維護時間的列表。