Weitere bewährte Methoden im Zusammenhang mit Ereignissen finden Sie unter Ereignisse in Server- und Workload Protection.
Um die von Server- und Workload Protection erfassten Integritätsüberwachungsereignisse anzuzeigen, gehen Sie zu Ereignisse &
Berichte > Ereignisse > Integritätsüberwachungsereignisse.
Welche Informationen werden für Integritätsüberwachungsereignisse angezeigt?
Diese Spalten können auf der Seite Integritätsüberwachungsereignisse angezeigt werden.
Sie können auf Spalten klicken, um auszuwählen, welche Spalten in der Tabelle angezeigt
werden.
- Zeit: Zeitpunkt, zu dem das Ereignis auf dem Computer stattfand.
- Computer: Der Computer, auf dem dieses Ereignis protokolliert wurde. (Wenn der Computer entfernt wurde, wird dieser Eintrag "Unbekannter Computer" anzeigen.)
- Grund: Die Integritätsüberwachungsregel, die mit diesem Ereignis verknüpft ist.
- Tag(s): Ereignis-Tags, die auf dieses Ereignis angewendet werden.
- Change: Die durch die Integritätsregel erkannte Änderung. Kann sein: Erstellt, Aktualisiert, Gelöscht oder Umbenannt.
- Rank: Das Bewertungssystem bietet eine Möglichkeit, die Bedeutung von Ereignissen zu quantifizieren. Indem "Asset-Werte" Computern zugewiesen und "Schweregrad-Werte" Regeln zugeordnet werden, wird die Bedeutung ("Rang") eines Ereignisses berechnet, indem die beiden Werte miteinander multipliziert werden. Dies ermöglicht es Ihnen, Ereignisse nach Rang zu sortieren.
- Schweregrad: Der Schweregradwert der Integritätsüberwachungsregel
- Typ: Art der Entität, von der das Ereignis stammt
- Schlüssel: Pfad und Dateiname oder Registrierungsschlüssel, von dem das Ereignis stammt
- Benutzer: Benutzer-ID des Dateieigentümers
- Prozess: Prozess, von dem das Ereignis stammt
- Event Origin: Die Server- und Workload Protection-Komponente, von der das Ereignis stammt
Liste aller Integritätsüberwachungsereignisse
|
ID
|
Schweregrad
|
Ereignis
|
Hinweise
|
|
8000
|
Info
|
Vollständige Basislinie erstellt
|
Erstellt, wenn der Agent aufgefordert wurde, eine Basislinie zu erstellen oder von
0 Integritätsüberwachungsregeln zu n gewechselt ist (was dazu führt, dass die Basislinie
erstellt wird). Dieses Ereignis enthält Informationen über die zum DURCHSUCHEN benötigte
Zeit (ms) und die Anzahl der katalogisierten Entitäten.
|
|
8001
|
Info
|
Teilweise Basislinie erstellt
|
Erstellt, wenn der Agent eine Sicherheitskonfiguration hatte, bei der eine oder mehrere
Integritätsüberwachungsregeln geändert wurden. Dieses Ereignis enthält Informationen
über die Zeit, die zum DURCHSUCHEN benötigt wurde (ms), und die Anzahl der katalogisierten
Einheiten.
|
|
8002
|
Info
|
Suche nach Änderungen abgeschlossen
|
Erstellt, wenn der Agent aufgefordert wird, eine vollständige oder teilweise On-Demand-Durchsuchung
durchzuführen. Dieses Ereignis enthält Informationen über die benötigte Zeit zum Durchsuchen
(ms) und die Anzahl der katalogisierten ÄNDERUNGEN. Laufende Durchsuchungen nach Änderungen
basierend auf dem Systemtreiber oder der Benachrichtigung erzeugen kein 8002-Ereignis
|
|
8003
|
Fehler
|
Unbekannte Umgebungsvariable in Integritätsüberwachungsregel
|
Erstellt, wenn eine Regel eine ${env.EnvironmentVar} verwendet und "EnvironmentVar"
keine bekannte Umgebungsvariable ist. Dieses Ereignis enthält die ID der Integritätsüberwachungsregel,
die das Problem enthält, den Namen der Integritätsüberwachungsregel und den Namen
der unbekannten Umgebungsvariable.
|
|
8004
|
Fehler
|
Schlechte Basis in Integritätsüberwachungsregel
|
Erstellt, wenn eine Regel ein ungültiges Basisverzeichnis oder einen ungültigen Schlüssel
enthält. Beispielsweise würde das Angeben eines FileSets mit einem Basis von "c:\foo\d:\bar"
dieses Ereignis erzeugen, oder der ungültige Wert könnte das Ergebnis einer Umgebungsvariablenersetzung
sein, die einen schlechten Wert ergibt. Dieses Ereignis enthält die ID der Integritätsüberwachungsregel,
die das Problem enthält, den Namen der Integritätsüberwachungsregel und den fehlerhaften
Basiswert.
|
|
8005
|
Fehler
|
Unbekannte Entität in Integritätsüberwachungsregel
|
Erstellt, wenn ein unbekanntes EntitySet in einer Integritätsüberwachungsregel gefunden
wird. Dieses Ereignis enthält die ID der Integritätsüberwachungsregel mit dem Problem,
den Namen der Integritätsüberwachungsregel und eine durch Kommas getrennte Liste der
unbekannten EntitySet-Namen, die gefunden wurden.
|
|
8006
|
Fehler
|
Nicht unterstützte Einheit in der Integritätsüberwachungsregel
|
Erstellt, wenn ein bekanntes, aber nicht unterstütztes EntitySet in einer Integritätsüberwachungsregel
gefunden wird. Dieses Ereignis enthält die ID der Integritätsüberwachungsregel mit
dem Problem, den Namen der Integritätsüberwachungsregel und eine durch Kommas getrennte
Liste der nicht unterstützten EntitySet-Namen, die gefunden wurden. Einige EntitySet-Typen
wie RegistryKeySet sind plattformspezifisch.
|
|
8007
|
Fehler
|
Unbekannte Funktion in der Integritätsüberwachungsregel
|
Erstellt, wenn in einer Integritätsüberwachungsregel ein unbekanntes Merkmal auftritt.
Dieses Ereignis enthält die ID der Integritätsüberwachungsregel mit dem Problem, den
Namen der Integritätsüberwachungsregel, den Typ des Entitätensatzes (zum Beispiel
FileSet) und eine durch Kommas getrennte Liste der unbekannten Merkmalnamen, die aufgetreten
sind. Beispiele für gültige Merkmalwerte sind "whereBaseInOtherSet", "status" und
"executable".
|
|
8008
|
Fehler
|
Nicht unterstütztes Feature in der Integritätsüberwachungsregel
|
Erstellt, wenn eine bekannte, aber nicht unterstützte Funktion in einer Integritätsüberwachungsregel
erkannt wird. Dieses Ereignis enthält die ID der Integritätsüberwachungsregel mit
dem Problem, den Namen der Integritätsüberwachungsregel, den Typ des Entitätensatzes
(zum Beispiel FileSet) und eine durch Kommas getrennte Liste der erkannten, nicht
unterstützten Funktionsnamen. Einige Funktionswerte wie "status" (verwendet für Windows-Dienstzustände)
sind plattformspezifisch.
|
|
8009
|
Fehler
|
Unbekanntes Attribut in Integritätsüberwachungsregel
|
Erstellt, wenn ein unbekanntes Attribut in einer Integritätsüberwachungsregel gefunden
wird. Dieses Ereignis enthält die ID der Integritätsüberwachungsregel, die das Problem
enthält, den Namen der Integritätsüberwachungsregel, den Typ des Entitätensatzes (zum
Beispiel FileSet) und eine durch Kommas getrennte Liste der unbekannten Attributnamen,
die gefunden wurden. Beispiele für gültige Attributwerte sind "created", "lastModified"
und "inodeNumber".
|
|
8010
|
Fehler
|
Nicht unterstütztes Attribut in Integritätsüberwachungsregel
|
Erstellt, wenn ein bekanntes, aber nicht unterstütztes Attribut in einer Integritätsüberwachungsregel
gefunden wird. Dieses Ereignis enthält die ID der Integritätsüberwachungsregel mit
dem Problem, den Namen der Integritätsüberwachungsregel, den Typ des Entitätensatzes
(zum Beispiel FileSet) und eine durch Kommas getrennte Liste der nicht unterstützten
Attributnamen, die gefunden wurden. Einige Attributwerte wie "inodeNumber" sind plattformspezifisch.
|
|
8011
|
Fehler
|
Unbekanntes Attribut im Entitätensatz in der Integritätsüberwachungsregel
|
Erstellt, wenn ein unbekanntes EntitySet-XML-Attribut in einer Integritätsüberwachungsregel
gefunden wird. Dieses Ereignis enthält die ID der Integritätsüberwachungsregel, die
das Problem enthält, den Namen der Integritätsüberwachungsregel, den Typ des EntitySets
(zum Beispiel, FileSet) und eine durch Kommas getrennte Liste der unbekannten EntitySet-Attributnamen,
die gefunden wurden. Sie würden dieses Ereignis erhalten, wenn Sie <FileSet dir="c:\foo">
anstelle von <FileSet base="c:\foo"> geschrieben hätten
|
|
8012
|
Fehler
|
Unbekannte Registrierungszeichenfolge in Integritätsüberwachungsregel
|
Erstellt, wenn eine Regel auf einen nicht vorhandenen Registrierungsschlüssel verweist.
Dieses Ereignis enthält die ID der Integritätsüberwachungsregel, die das Problem enthält,
den Namen der Integritätsüberwachungsregel und den Namen der unbekannten Registrierungszeichenfolge.
|
|
8013
|
Fehler
|
Ein ungültiger WQLSet wurde verwendet. Namespace oder WQL-Abfrage fehlte.
|
Gibt an, dass der Namespace in einer WQL-Abfrage fehlt, weil eine Integritätsregel-XML
falsch formatiert ist. Dies kann nur in einem fortgeschrittenen Fall auftreten, bei
dem benutzerdefinierte Integritätsregeln verwendet werden, die WQL-Abfragen nutzen
und überwachen.
|
|
8014
|
Fehler
|
Ein ungültiger WQLSet wurde verwendet. Ein unbekannter Anbieterwert wurde verwendet.
|
|
|
8015
|
Achtung
|
Nicht anwendbare Integritätsüberwachungsregel
|
Kann durch verschiedene Gründe verursacht werden, wie z. B. Plattforminkompatibilität,
nicht vorhandene Zielverzeichnisse oder -dateien oder nicht unterstützte Funktionen.
|
|
8016
|
Achtung
|
Suboptimale Integritätsregel erkannt
|
|
|
8050
|
Fehler
|
Der reguläre Ausdruck konnte nicht kompiliert werden. Ein ungültiges Platzhalterzeichen
wurde verwendet.
|
|