다음을 통해 공유

이벤트 뷰어와 AppLocker 사용

이 문서에서는 AppLocker 이벤트를 나열하고 AppLocker에서 이벤트 뷰어 사용하는 방법을 설명합니다.

AppLocker 로그에는 AppLocker 규칙의 영향을 받는 애플리케이션에 대한 정보가 포함되어 있습니다. 로그의 각 이벤트에는 다음 정보와 같은 세부 정보가 포함됩니다.

  • 영향을 받는 파일 및 해당 파일의 경로
  • 영향을 받는 패키지 앱 및 앱의 패키지 식별자
  • 파일 또는 패키지된 앱의 허용 여부 또는 차단 여부
  • 규칙 형식(경로, 파일 해시 또는 게시자)
  • 규칙 이름
  • 규칙에서 식별된 사용자 또는 그룹의 SID(보안 식별자)

이벤트 뷰어 항목을 검토하여 애플리케이션이 자동으로 생성된 규칙에 포함되지 않았는지 확인합니다. instance 경우 일부 기간 업무 앱은 활성 드라이브의 루트(예%SystemDrive%: )와 같은 비표준 위치에 설치됩니다.

AppLocker 이벤트 로그에서 찾을 항목에 대한 자세한 내용은 AppLocker를 사용하여 앱 사용 모니터링을 참조하세요.

참고

AppLocker 이벤트 로그는 매우 세부 정보이며, 특히 AppLocker - EXE 및 DLL 이벤트 로그에서 배포된 정책에 따라 많은 수의 이벤트가 발생할 수 있습니다. LogAnalytics와 같은 이벤트 전달 및 컬렉션 서비스를 사용하는 경우 해당 이벤트 로그에 대한 구성을 조정하여 오류 이벤트만 수집하거나 해당 로그에서 이벤트 수집을 완전히 중지할 수 있습니다.

Windows 이벤트 뷰어 AppLocker 로그 검토

  1. 이벤트 뷰어를 엽니다.
  2. 애플리케이션 및 서비스 로그\Microsoft\Windows 아래의 콘솔 트리에서 AppLocker를 선택합니다.

다음 표에는 AppLocker 규칙의 영향을 받는 앱을 확인하는 데 사용할 수 있는 이벤트에 대한 정보가 포함되어 있습니다.

이벤트 ID 수준 이벤트 메시지 설명
8000 오류 AppID 정책 변환에 실패했습니다. 상태 * <%1> * 정책이 컴퓨터에 올바르게 적용되지 않았음을 나타냅니다. 상태 메시지는 문제 해결을 위해 제공됩니다.
8001 정보 AppLocker 정책이 이 컴퓨터에 성공적으로 적용되었습니다. AppLocker 정책이 컴퓨터에 성공적으로 적용되었음을 나타냅니다.
8002 정보 *<파일 이름> *을(를) 실행할 수 있었습니다. .exe 또는 .dll 파일이 허용된 AppLocker 규칙을 나타냅니다.
8003 Warning *<파일 이름> * 은(는) 실행할 수 있었지만 AppLocker 정책이 적용된 경우 실행되지 않았을 것입니다. 감사 전용 적용 모드가 사용하도록 설정된 경우에만 표시됩니다. 적용 모드 설정이 적용 규칙인 경우 AppLocker 정책이 .exe 또는 .dll 파일을 차단한다는 것을 나타냅니다.
8004 오류 *<파일 이름> * 실행이 금지되었습니다. AppLocker가 명명된 EXE 또는 DLL 파일을 차단했습니다. 규칙 적용 모드가 활성화된 경우에만 표시됩니다.
8005 정보 *<파일 이름> *을(를) 실행할 수 있었습니다. 스크립트 또는 .msi 파일이 허용된 AppLocker 규칙을 나타냅니다.
8006 Warning *<파일 이름> * 은(는) 실행할 수 있었지만 AppLocker 정책이 적용된 경우 실행되지 않았을 것입니다. 감사 전용 적용 모드가 사용하도록 설정된 경우에만 표시됩니다. 규칙 적용 적용 모드가 설정된 경우 AppLocker 정책이 스크립트 또는 .msi 파일을 차단했음을 나타냅니다.
8007 오류 *<파일 이름> * 실행이 금지되었습니다. AppLocker가 명명된 스크립트 또는 MSI를 차단했습니다. 규칙 적용 모드가 활성화된 경우에만 표시됩니다.
8008 Warning *<파일 이름> *: 이 SKU에서 AppLocker 구성 요소를 사용할 수 없습니다. AppLocker를 지원하지 않는 Windows 버전을 나타냅니다.
8020 정보 *<파일 이름> *을(를) 실행할 수 있었습니다. Windows Server 2012 및 Windows 8 추가되었습니다.
8021 Warning *<파일 이름> * 은(는) 실행할 수 있었지만 AppLocker 정책이 적용된 경우 실행되지 않았을 것입니다. Windows Server 2012 및 Windows 8 추가되었습니다.
8022 오류 *<파일 이름> * 실행이 금지되었습니다. Windows Server 2012 및 Windows 8 추가되었습니다.
8023 정보 *<파일 이름> * 설치가 허용되었습니다. Windows Server 2012 및 Windows 8 추가되었습니다.
8024 Warning *<파일 이름> * 은(는) 실행할 수 있었지만 AppLocker 정책이 적용된 경우 실행되지 않았을 것입니다. Windows Server 2012 및 Windows 8 추가되었습니다.
8025 오류 *<파일 이름> * 실행이 금지되었습니다. Windows Server 2012 및 Windows 8 추가되었습니다.
8027 오류 Exe 규칙이 적용되는 동안에는 패키지된 앱을 실행할 수 없으며 패키지된 앱 규칙이 구성되지 않았습니다. Windows Server 2012 및 Windows 8 추가되었습니다.
8028 Warning *<파일 이름> * 은(는) 실행할 수 있었지만 구성 CI 정책이 적용된 경우 차단되었을 것입니다. Windows Server 2016 및 Windows 10 추가되었습니다.
8029 오류 *<파일 이름> * 은 구성 CI 정책으로 인해 실행되지 않았습니다. Windows Server 2016 및 Windows 10 추가되었습니다.
8030 정보 ManagedInstaller 검사 Appid 확인 중 성공 * Windows Server 2016 및 Windows 10 추가되었습니다.
8031 정보 SmartlockerFilter 검색된 파일 * 프로세스에 의해 작성됨 * Windows Server 2016 및 Windows 10 추가되었습니다.
8032 오류 Appid 확인 중 ManagedInstaller 검사 실패 * Windows Server 2016 및 Windows 10 추가되었습니다.
8033 Warning ManagedInstaller 검사 * 의 Appid 확인 중에 실패했습니다. AppLocker 정책 감사로 인해 실행할 수 있습니다. Windows Server 2016 및 Windows 10 추가되었습니다.
8034 정보 Appid 확인 중 ManagedInstaller 스크립트 검사 실패 * Windows Server 2016 및 Windows 10 추가되었습니다.
8035 오류 ManagedInstaller 스크립트 검사 Appid 확인 중 성공 * Windows Server 2016 및 Windows 10 추가되었습니다.
8036 오류 * 구성 CI 정책으로 인해 실행되지 않았습니다. Windows Server 2016 및 Windows 10 추가되었습니다.
8037 정보 * 구성 CI 정책을 통과하고 실행할 수 있었습니다. Windows Server 2016 및 Windows 10 추가되었습니다.
8038 정보 게시자 정보: 제목: * 발급자: * 서명 인덱스 * (* 합계) Windows Server 2016 및 Windows 10 추가되었습니다.
8039 Warning 패키지 패밀리 이름 * 버전 * 설치 또는 업데이트가 허용되었지만 구성 CI 정책의 경우 차단되었을 수 있습니다. Windows Server 2016 및 Windows 10 추가되었습니다.
8040 오류 패키지 패밀리 이름 * 버전 * 구성 CI 정책으로 인해 설치 또는 업데이트가 금지되었습니다. Windows Server 2016 및 Windows 10 추가되었습니다.