搭配 AppLocker 使用事件檢視器

• 適用於:

  ✅ Windows 11, ✅ Windows 10

本文列出 AppLocker 事件，並說明如何搭配 AppLocker 使用 事件檢視器。

AppLocker 記錄包含受 AppLocker 規則影響之應用程式的相關信息。 記錄檔中的每個事件都包含詳細數據，例如下列資訊：

• 受影響的檔案和該檔案的路徑
• 受影響的已封裝應用程式和應用程式的套件識別碼
• 允許或封鎖檔案或已封裝的應用程式
• 規則類型 (路徑、檔案哈希或發行者)
• 規則名稱
• 規則中所識別使用者或群組的安全標識碼 (SID)

檢閱 事件檢視器 中的專案，以判斷是否有任何應用程式未包含在您自動產生的規則中。 例如，某些企業營運應用程式會安裝到非標準位置，例如作用中磁碟驅動器的根 (例如 %SystemDrive%) 。

如需在 AppLocker 事件記錄檔中尋找專案的相關信息，請參閱 使用 AppLocker 監視應用程式使用量。

注意

AppLocker 事件記錄檔非常詳細，而且根據部署的原則，可能會導致大量的事件，特別是在 AppLocker - EXE 和 DLL 事件記錄檔中。 如果您使用 LogAnalytics 之類的事件轉送和收集服務，您可以調整該事件記錄檔的組態，只收集 Error 事件，或完全停止收集該記錄檔中的事件。

檢閱 Windows 事件檢視器 中的 AppLocker 記錄

1. 開啟事件檢視器。
2. 在主控台樹的 [ 應用程式和服務記錄檔\Microsoft\Windows] 底下，選取 [AppLocker]。

下表包含可用來判斷受AppLocker規則影響之應用程式的事件相關信息。

事件識別碼	層級	事件訊息	描述
8000	錯誤	AppID 原則轉換失敗。 狀態 * <%1> *	表示原則未正確套用至計算機。 狀態消息是針對疑難解答目的所提供。
8001	資訊	AppLocker 原則已成功套用至此電腦。	表示 AppLocker 原則已成功套用至電腦。
8002	資訊	*<檔案名> * 已允許執行。	指出允許 .exe 或 .dll 檔案的 AppLocker 規則。
8003	警告	*<檔名> * 已允許執行，但如果強制執行 AppLocker 原則，則無法執行。	只有在啟用 僅 稽核強制模式時才會顯示。 指出如果強制模式設定為 [強制執行 規則]，AppLocker 原則會封鎖 .exe 或 .dll 檔案。
8004	錯誤	*<檔案名> * 已防止執行。	AppLocker 已封鎖具名 EXE 或 DLL 檔案。 只有在啟用 強制執行規則 模式時才會顯示。
8005	資訊	*<檔案名> * 已允許執行。	表示允許腳本或 .msi 檔案的 AppLocker 規則。
8006	警告	*<檔名> * 已允許執行，但如果強制執行 AppLocker 原則，則無法執行。	只有在啟用 僅 稽核強制模式時才會顯示。 指出如果已啟用強制 執行規則 強制模式，AppLocker 原則會封鎖腳本或 .msi 檔案。
8007	錯誤	*<檔案名> * 已防止執行。	AppLocker 已封鎖具名腳本或 MSI。 只有在啟用 強制執行規則 模式時才會顯示。
8008	警告	*<檔名> *：此 SKU 上無法使用 AppLocker 元件。	指出不支援 AppLocker 的 Windows 版本。
8020	資訊	*<檔案名> * 已允許執行。	已在 Windows Server 2012和 Windows 8 中新增。
8021	警告	*<檔名> * 已允許執行，但如果強制執行 AppLocker 原則，則無法執行。	已在 Windows Server 2012和 Windows 8 中新增。
8022	錯誤	*<檔案名> * 已防止執行。	已在 Windows Server 2012和 Windows 8 中新增。
8023	資訊	*<檔案名> * 已允許安裝。	已在 Windows Server 2012和 Windows 8 中新增。
8024	警告	*<檔名> * 已允許執行，但如果強制執行 AppLocker 原則，則無法執行。	已在 Windows Server 2012和 Windows 8 中新增。
8025	錯誤	*<檔案名> * 已防止執行。	已在 Windows Server 2012和 Windows 8 中新增。
8027	錯誤	在強制執行 Exe 規則且未設定任何已封裝的應用程式規則時，無法執行任何已封裝的應用程式。	已在 Windows Server 2012和 Windows 8 中新增。
8028	警告	*<檔名> * 已允許執行，但如果強制執行 Config CI 原則，則會無法執行。	已在 Windows Server 2016和 Windows 10 中新增。
8029	錯誤	*<檔名> * 因設定 CI 原則而無法執行。	已在 Windows Server 2016和 Windows 10 中新增。
8030	資訊	ManagedInstaller 在 Appid 驗證期間檢查成功 *	已在 Windows Server 2016和 Windows 10 中新增。
8031	資訊	SmartlockerFilter 偵測到檔案 * 正在由進程寫入 *	已在 Windows Server 2016和 Windows 10 中新增。
8032	錯誤	ManagedInstaller 檢查在 Appid 驗證期間失敗 *	已在 Windows Server 2016和 Windows 10 中新增。
8033	警告	ManagedInstaller 會在 * 的 Appid 驗證期間檢查 FAILED。 因稽核 AppLocker 原則而允許執行。	已在 Windows Server 2016和 Windows 10 中新增。
8034	資訊	ManagedInstaller 腳本檢查在 * 的 Appid 驗證期間失敗	已在 Windows Server 2016和 Windows 10 中新增。
8035	錯誤	ManagedInstaller 腳本檢查在 Appid 驗證期間成功 *	已在 Windows Server 2016和 Windows 10 中新增。
8036	錯誤	* 因設定 CI 原則而無法執行	已在 Windows Server 2016和 Windows 10 中新增。
8037	資訊	* 已通過設定 CI 原則，並允許執行。	已在 Windows Server 2016和 Windows 10 中新增。
8038	資訊	發行者資訊：主旨： * 簽發者： * 簽章索引 * (* 總計)	已在 Windows Server 2016和 Windows 10 中新增。
8039	警告	套件系列名稱 * 版本 * 已允許安裝或更新，但如果設定 CI 原則，則會防止	已在 Windows Server 2016和 Windows 10 中新增。
8040	錯誤	套件系列名稱 * 版本 * 因設定 CI 原則而無法安裝或更新	已在 Windows Server 2016和 Windows 10 中新增。

相關文章

• 與 AppLocker 搭配使用的工具