應用程式與裝置控制日誌和快速報告

應用程式與裝置控制日誌和快速報告包含某些行為類型被攔截的事件相關資訊。這些資訊包括事件時間與類型、採取的動作、網域、主機、規則以及呼叫程序等項目。
所收集的資訊包括應用程式控制與竄改防護的相關資訊,以及裝置控制技術偵測到的硬體和軟體行為的相關資訊。
控制日誌中一個事件可能會出現兩個日誌項目。例如,如果應用程式讀取並接著嘗試寫入檔案,則可能會出現兩個項目。如果應用程式寫入並接著嘗試刪除檔案,也會出現兩個項目。此外,控制日誌中顯示的事件可能會將檔案大小顯示為 0 位元組,而不是實際檔案大小。通常,當應用程式控制規則在程序建立或寫入檔案前觸發時,檔案大小會顯示為 0 個位元組。
應用程式控制日誌和報告以及裝置控制日誌和報告的其他過濾選項
選項
說明
  • 嚴重性
  • 事件類型
  • 作業系統
  • 站台
  • 網域
  • 群組
  • 伺服器
  • 電腦
  • 使用者
  • IP 位址
如需這些設定的相關資訊:
測試模式
根據政策設定所在的模式顯示事件。按下「
」進入「
測試 (只記錄)
」模式,按下「
」則進入「
正式
」模式。「
」只會顯示處於「
正式
」模式而非「
測試 (只記錄)
」模式之電腦的相關資訊。
此選項僅適用於「
應用程式控制
」日誌。
動作
指定您要檢視相關資訊的動作類型。例如,您可以選取「
攔截
」或「
繼續
」。
此選項僅適用於「
應用程式控制
」日誌。
檔案大小
指定應用程式控制偵測到的檔案的大小。您可以選擇檢視有關所有檔案的資訊,或者僅檢視小於或大於指定大小的檔案的相關資訊。
呼叫程序
顯示觸發該事件的程序或應用程式。例如,假設您建立了規則來攔截程式寫入某個資料夾。如果您嘗試將文件儲存到該資料夾,會記錄事件,其中 winword.exe 就是呼叫程序。
您可以使用問號 (?) 萬用字元來比對任何一個字元,使用星號 (*) 來比對任何字元字串。您也可以輸入逗號分隔的清單。
此選項僅適用於「
應用程式控制
」日誌。
在「應用程式與裝置控制」日誌視窗中的選項說明在您檢視其中一個日誌之後,日誌視窗中的可用選項。
在「
應用程式與裝置控制
」日誌視窗中的選項
選項
說明
動作
若要將選取的程序新增到「例外」政策,以便使用戶端不會掃描該程序,請按下「
新增程序至例外政策
」,然後按下「
開始
」。
應用程式與裝置控制快速報告類型
選項
說明
含最多警示的前幾名群組
指定您要檢視的事件的最低嚴重性等級。此設定會將顯示過濾為僅顯示指定嚴重性等級及更高等級。例如,如果您選取「
主要
」,主要和重大事件都會顯示。
前幾名被攔截目標
此選項僅適用於「
含最多警示之應用程式控制日誌的前幾名群組
」報告和「
前幾名被攔截目標
」報告。
前幾名被攔截裝置
此選項僅適用於「
前幾名被攔截裝置
」報告。