应用程序与设备控制日志和快速报告

应用程序与设备控制日志和快速报告包含禁止某些类型行为的事件的相关信息。这些信息包括事件时间和类型、采取的操作、域、主机、规则以及调用者进程等项目。
所收集的信息包括应用程序控制与篡改防护的相关信息,以及设备控制技术检测到的软硬件行为的相关信息。
控制日志中的单个事件可能显示两个日志条目。例如,如果应用程序读取并接着尝试写入文件,则可能会出现两个日志项。如果应用程序写入并接着尝试删除文件,也会出现两个日志项。另外,控制日志中显示的事件可能会将文件大小显示为 0 字节而不是实际文件大小。一般而言,应用程序控制规则在进程创建或写入文件前触发时,文件大小会显示为 0 字节。
应用程序控制日志和报告以及设备控制日志和报告的其他过滤器选项
选项
说明
  • 严重性
  • 事件类型
  • 操作系统
  • 站点
  • 服务器
  • 计算机
  • 用户
  • IP 地址
测试模式
根据策略的设置模式显示事件。对“
测试 (仅记录)
”模式单击“
”,对“
生产
”模式单击“
”。“
”表示仅显示处于“
生产
”模式而非“
测试 (仅记录)
”模式的计算机的相关信息。
此选项仅适用于“
应用程序控制
”日志。
操作
指定要查看其相关信息的操作类型。例如,您可以选择“
禁止
”或“
继续
”。
此选项仅适用于“
应用程序控制
”日志。
文件大小
指定应用程序控制检测到的文件的大小。您可以选择查看所有文件的相关信息,或仅查看比指定大小大或小的文件的相关信息。
调用者进程
显示触发事件的进程或应用程序。例如,假设创建了规则来禁止程序写入文件夹。随后,如果尝试将文档保存到该文件夹,则会记录 winword.exe 是调用者进程的事件。
可以使用问号 (?) 通配符来匹配任何一个字符,使用星号 (*) 来匹配任何字符串。也可以使用以逗号分隔的列表作为输入。
此选项仅适用于“
应用程序控制
”日志。
"应用程序和设备控制"日志窗口中的选项说明查看其中一个日志后日志窗口中可用的选项。
应用程序与设备控制
”日志窗口中的选项
选项
说明
操作
要将所选进程添加到例外策略以使客户端不对其进行扫描,请单击“
将进程添加到例外策略
”,然后单击“
开始
”。
应用程序与设备控制快速报告类型
选项
说明
含警报次数最多的前几组日志
指定您要查看的最小严重性等级的事件。设置会对显示进行过滤以仅显示指定的严重性等级及更高等级。例如,如果您选择“
主要
”,则会同时显示主要事件和重要事件。
首要已禁止目标
此选项仅适用于“
含警报次数最多的应用程序控制日志的前几组
”报告和“
首要已禁止目标
”报告。
首要已禁止设备
此选项仅适用于“
首要已禁止设备
”报告。