有關事件的一般最佳實踐,請參閱 Server & Workload Security保護 中的事件。
要查看由Server & Workload Security保護捕獲的完整性監控事件,請前往事件與報告 > 事件 > 完整性監控事件。
完整性監控事件顯示哪些資訊?
這些欄位可以顯示在完整性監控事件頁面上。您可以點選欄位來選擇在表格中顯示哪些欄位。
- Time: 事件在電腦防護上發生的時間。
- Computer: 記錄此事件的電腦防護。(如果電腦防護已被移除,此項將顯示「未知電腦防護」。)
- Reason: 與此事件相關的完整性監控規則。
- Tag(s): 應用於此事件的事件標籤。
- Change: 由完整性規則檢測到的變更。可以是:已建立、已更新、已刪除或已重新命名。
- Rank: 排名系統提供了一種量化事件重要性的方法。通過為電腦分配「資產值」,並為規則分配「嚴重性值」,事件的重要性(「排名」)通過將這兩個值相乘來計算。這使得您可以按排名對事件進行排序。
- Severity: 完整性監控規則的嚴重性值
- 類型: 事件來源的實體類型
- Key: 事件來源的路徑和檔案名稱或登錄機碼
- User: 檔案擁有者的使用者 ID
- Process: 事件來源的進程
- Event Origin: 事件來源的 Server & Workload Security保護 組件
所有完整性監控事件的列表
|
ID
|
嚴重性
|
事件
|
筆記
|
|
8000
|
資訊
|
已建立完整基準
|
當代理程式被要求建立基準或從 0 條完整性監控規則增加到 n 條(導致建立基準)時創建。此事件包括掃瞄所花費的時間(毫秒)和編目實體的數量的資訊。
|
|
8001
|
資訊
|
已建立部分基準
|
當代理程式的安全性配置中有一個或多個完整性監控規則變更時創建。此事件包括掃瞄所需的時間(毫秒)和編目實體的數量。
|
|
8002
|
資訊
|
掃瞄變更完成
|
當代理程式被要求進行完整或部分視需要掃瞄時創建。此事件包括掃瞄所花費的時間(毫秒)和記錄的變更數量。(基於檔案系統驅動程式或通知的持續變更掃瞄不會生成8002事件。)
|
|
8003
|
錯誤
|
完整性監控規則中的未知環境變數
|
當規則使用 ${env.EnvironmentVar} 且 "EnvironmentVar" 不是已知的環境變數時創建。此事件包括包含問題的完整性監控規則的 ID、完整性監控規則的名稱以及未知環境變數的名稱。
|
|
8004
|
錯誤
|
完整性監控規則中的錯誤基準
|
當規則包含無效的基礎目錄或鍵時創建。例如,指定基礎為 "c:\foo\d:\bar" 的 FileSet 會生成此事件,或者無效值可能是環境變數替換導致的錯誤值。此事件包括包含問題的完整性監控規則的
ID、完整性監控規則的名稱和錯誤的基礎值。
|
|
8005
|
錯誤
|
完整性監控規則中的未知實體
|
當在完整性監控規則中遇到未知的實體集時創建。此事件包括包含問題的完整性監控規則的ID、完整性監控規則的名稱以及遇到的未知實體集名稱的逗號分隔列表。
|
|
8006
|
錯誤
|
完整性監控規則中不支援的實體
|
當在完整性監控規則中遇到已知但不受支持的 EntitySet 時創建。此事件包括包含問題的完整性監控規則的 ID、完整性監控規則的名稱以及遇到的不受支持的 EntitySet
名稱的逗號分隔列表。一些 EntitySet 類型(如 RegistryKeySet)是特定於平台的。
|
|
8007
|
錯誤
|
完整性監控規則中的未知功能
|
當在完整性監控規則中遇到未知功能時創建。此事件包括包含問題的完整性監控規則的 ID、完整性監控規則的名稱、實體集的類型(例如,FileSet),以及遇到的未知功能名稱的逗號分隔列表。有效功能值的示例包括
"whereBaseInOtherSet"、"status" 和 "executable"。
|
|
8008
|
錯誤
|
完整性監控規則中的不支援功能
|
當在完整性監控規則中遇到已知但不受支持的功能時創建。此事件包括包含問題的完整性監控規則的 ID、完整性監控規則的名稱、實體集的類型(例如,FileSet),以及遇到的不受支持功能名稱的逗號分隔列表。一些功能值(例如,用於
Windows 服務狀態的“status”)是特定於平台的。
|
|
8009
|
錯誤
|
完整性監控規則中的未知屬性
|
當在完整性監控規則中遇到未知屬性時創建。此事件包括包含問題的完整性監控規則的 ID、完整性監控規則的名稱、實體集的類型(例如,FileSet),以及遇到的未知屬性名稱的逗號分隔列表。有效屬性值的示例包括
"created"、"lastModified" 和 "inodeNumber"。
|
|
8010
|
錯誤
|
完整性監控規則中不支援的屬性
|
當在完整性監控規則中遇到已知但不受支持的屬性時創建。此事件包括包含問題的完整性監控規則的 ID、完整性監控規則的名稱、實體集的類型(例如,FileSet)以及遇到的不受支持屬性名稱的逗號分隔列表。一些屬性值如
"inodeNumber" 是特定於平台的。
|
|
8011
|
錯誤
|
完整性監控規則中的實體集未知屬性
|
當在完整性監控規則中遇到未知的 EntitySet XML 屬性時創建。此事件包括包含問題的完整性監控規則的 ID、完整性監控規則的名稱、實體集的類型(例如,FileSet),以及遇到的未知
EntitySet 屬性名稱的逗號分隔列表。如果您寫了 <FileSet dir="c:\foo"> 而不是 <FileSet base="c:\foo">,您將會收到此事件
|
|
8012
|
錯誤
|
完整性監控規則中的未知註冊表字串
|
當規則引用不存在的註冊表鍵時創建。此事件包括包含問題的完整性監控規則的 ID、完整性監控規則的名稱以及未知註冊表字串的名稱。
|
|
8013
|
錯誤
|
使用了無效的 WQLSet。缺少命名空間或 WQL 查詢。
|
表示命名空間在 WQL 查詢中缺失,因為完整性規則 XML 格式不正確。這僅會在使用和監控 WQL 查詢的自訂完整性規則的進階情況下發生。
|
|
8014
|
錯誤
|
使用了無效的 WQLSet。使用了未知的提供者值。
|
|
|
8015
|
警告
|
不適用的完整性監控規則
|
可能由多種原因引起,例如平台不匹配、目標目錄或文件不存在,或不支援的功能。
|
|
8016
|
警告
|
檢測到次佳完整性規則
|
|
|
8050
|
錯誤
|
正則表達式無法編譯。使用了無效的萬用字元。
|
|