Я настроил один из серверов в нашем домене как сборщик событий для событий AppLocker с клиентских компьютеров. Затем я (через GPO) настроил двух клиентов для пересылки своих событий в сборщик событий.
Это работает нормально, я получаю события от обоих клиентов на сборщике событий. Однако события от одного из клиентов не отображают имя файла в деталях события. Вместо этого он содержит что-то вроде этого:
% 11 разрешен запуск.
При просмотре журналов событий локально на клиенте сведения о событии содержат путь и имя файла для разрешенного или заблокированного файла. Почему эта информация не передается вместе с событиями? (Изменить: оказывается, что если я переключаюсь на вкладку Details, FilePath среди другой информации отображается нормально как в Friendly View, так и в XML View, но я хотел бы, чтобы он отображался и на вкладке General.)
Кроме того, события от другого клиента также не отображаются должным образом. Вместо получения фактических сведений о событии события содержат следующее:
Описание для события с кодом 8020 из источника Microsoft-Windows-AppLocker не найдено. Либо компонент, вызывающий это событие, не установлен на вашем локальном компьютере, либо установка повреждена. Вы можете установить или восстановить компонент на локальном компьютере.
Если событие возникло на другом компьютере, отображаемую информацию нужно было сохранить вместе с событием.
Следующая информация была включена в мероприятие:
Ресурс для нужного сообщения, специфичный для локали, отсутствует
Эти события также правильно отображаются локально на компьютере. Здесь я также могу переключиться на вкладку «Подробности» в сборщике событий и просмотреть всю информацию, включенную в событие, но не на вкладке «Общие».
Я нашел возможное решение для этого, которое должно было запустить wecutil ss <subscriptionName> /cf:Events
чтобы изменить ContentFormat подписки, но это не решило проблему.
Обновление: я добавил в настройку третью машину, и она показывает то же самое, что и первый клиент, например %11 was allowed to run
. Затем я попытался изменить ContentFormat подписки с RenderedText (по умолчанию) на Events, и теперь события от вторых клиентов отображаются так же, как события от двух других клиентов, например:
% 11 разрешен запуск.
Но, к сожалению, на вкладке «Общие» до сих пор не отображается путь к файлу.
Обновление: я только что попытался настроить свой компьютер (на который распространяется политика AppLocker) в качестве сборщика событий, но здесь у меня также есть проблема с событиями, которые отображаются как «% 11 разрешен запуск».
Сборщик событий работает под управлением Windows Server 2012 R2, а клиенты работают под управлением Windows 10 Enterprise.
Какие-либо предложения?