AppLocker でのイベント ビューアーの使用

この記事では、AppLocker イベントの一覧を示し、AppLocker でイベント ビューアーを使用する方法について説明します。

AppLocker ログには、AppLocker 規則の影響を受けるアプリケーションに関する情報が含まれています。 ログ内の各イベントには、次の情報などの詳細が含まれています。

  • 影響を受けるファイルとそのファイルのパス
  • 影響を受けるパッケージ アプリとアプリのパッケージ識別子
  • ファイルまたはパッケージ 化されたアプリが許可されているかブロックされているか
  • 規則の種類 (パス、ファイル ハッシュ、または発行元)
  • ルール名
  • ルールで識別されるユーザーまたはグループのセキュリティ識別子 (SID)

イベント ビューアーのエントリを確認して、自動的に生成されたルールにアプリケーションが含まれていないかどうかを判断します。 たとえば、一部の基幹業務アプリは、アクティブなドライブのルート (たとえば %SystemDrive%) など、標準以外の場所にインストールされます。

AppLocker イベント ログで検索する内容については、「AppLocker で アプリの使用状況を監視する」を参照してください。

AppLocker イベント ログは非常に詳細であり、特に AppLocker - EXE および DLL イベント ログに展開されるポリシーに応じて多数のイベントが発生する可能性があります。 LogAnalytics などのイベント転送および収集サービスを使用している場合は、そのイベント ログの構成を調整して、Error イベントのみを収集するか、そのログからのイベントの収集を完全に停止することができます。

Windows イベント ビューアーの AppLocker ログを確認する

  1. イベント ビューアーを開きます。
  2. コンソール ツリーの [ アプリケーションとサービス ログ]\Microsoft\Windows で、[ AppLocker] を選択します。

次の表に、AppLocker 規則の影響を受けるアプリを特定するために使用できるイベントに関する情報を示します。

イベント ID レベル イベント メッセージ 説明
8000 エラー AppID ポリシーの変換に失敗しました。 Status * <%1> * ポリシーがコンピューターに正しく適用されなかったことを示します。 状態メッセージは、トラブルシューティングのために提供されます。
8001 情報 AppLocker ポリシーがこのコンピューターに正常に適用されました。 AppLocker ポリシーがコンピューターに正常に適用されたことを示します。
8002 情報 *<ファイル名> * の実行が許可されました。 .exe または .dll ファイルを許可する AppLocker 規則を示します。
8003 Warning *<ファイル名> * は実行が許可されましたが、AppLocker ポリシーが適用された場合は実行できませんでした。 監査のみの適用モードが有効になっている場合にのみ表示されます。 適用モードの設定が [ 規則の適用] の場合、AppLocker ポリシーによって .exe または .dll ファイルがブロックされることを示します。
8004 エラー *<ファイル名> * が実行されませんでした。 AppLocker は、名前付き EXE または DLL ファイルをブロックしました。 [規則の適用] モードが有効になっている場合にのみ表示されます。
8005 情報 *<ファイル名> * の実行が許可されました。 AppLocker ルールでスクリプトまたはファイル .msi 許可されたことを示します。
8006 Warning *<ファイル名> * は実行が許可されましたが、AppLocker ポリシーが適用された場合は実行できませんでした。 監査のみの適用モードが有効になっている場合にのみ表示されます。 規則の 適用 モードが有効になっている場合、AppLocker ポリシーによってスクリプトまたは .msi ファイルがブロックされることを示します。
8007 エラー *<ファイル名> * が実行されませんでした。 AppLocker は、名前付きスクリプトまたは MSI をブロックしました。 [規則の適用] モードが有効になっている場合にのみ表示されます。
8008 Warning *<ファイル名> *: AppLocker コンポーネントは、この SKU では使用できません。 AppLocker をサポートしていない Windows のエディションを示します。
8020 情報 *<ファイル名> * の実行が許可されました。 Windows Server 2012とWindows 8に追加されました。
8021 Warning *<ファイル名> * は実行が許可されましたが、AppLocker ポリシーが適用された場合は実行できませんでした。 Windows Server 2012とWindows 8に追加されました。
8022 エラー *<ファイル名> * が実行されませんでした。 Windows Server 2012とWindows 8に追加されました。
8023 情報 *<ファイル名> * のインストールが許可されました。 Windows Server 2012とWindows 8に追加されました。
8024 Warning *<ファイル名> * は実行が許可されましたが、AppLocker ポリシーが適用された場合は実行できませんでした。 Windows Server 2012とWindows 8に追加されました。
8025 エラー *<ファイル名> * が実行されませんでした。 Windows Server 2012とWindows 8に追加されました。
8027 エラー Exe ルールが適用され、パッケージ アプリルールが構成されていない間は、パッケージ化されたアプリを実行できません。 Windows Server 2012とWindows 8に追加されました。
8028 Warning *<ファイル名> * は実行が許可されましたが、Config CI ポリシーが適用された場合は実行できませんでした。 Windows Server 2016とWindows 10に追加されました。
8029 エラー *<ファイル名> * は、構成 CI ポリシーのために実行されませんでした。 Windows Server 2016とWindows 10に追加されました。
8030 情報 ManagedInstaller チェック の Appid 検証中に成功しました* Windows Server 2016とWindows 10に追加されました。
8031 情報 SmartlockerFilter 検出されたファイル * プロセスによって書き込まれている * Windows Server 2016とWindows 10に追加されました。
8032 エラー ManagedInstaller チェック * の Appid 検証中に失敗しました Windows Server 2016とWindows 10に追加されました。
8033 Warning ManagedInstaller チェック * の Appid 検証中に失敗しました。 AppLocker ポリシーの監査が原因で実行できます。 Windows Server 2016とWindows 10に追加されました。
8034 情報 の Appid 検証中に ManagedInstaller スクリプトチェック FAILED Windows Server 2016とWindows 10に追加されました。
8035 エラー * の Appid 検証中に ManagedInstaller スクリプトチェック SUCCEEDED Windows Server 2016とWindows 10に追加されました。
8036 エラー * 構成 CI ポリシーにより実行が禁止されました Windows Server 2016とWindows 10に追加されました。
8037 情報 * Config CI ポリシーが渡され、実行が許可されました。 Windows Server 2016とWindows 10に追加されました。
8038 情報 発行元情報: 件名: * 発行者: * 署名インデックス * (* 合計) Windows Server 2016とWindows 10に追加されました。
8039 Warning パッケージ ファミリ名 * バージョン * はインストールまたは更新が許可されましたが、Config CI ポリシーの場合は禁止されていました Windows Server 2016とWindows 10に追加されました。
8040 エラー パッケージ ファミリ名 * バージョン * は、Config CI ポリシーによりインストールまたは更新が禁止されました Windows Server 2016とWindows 10に追加されました。