我已经在我们的域中设置了一个服务器,作为来自客户端计算机的AppLocker事件的事件收集器。 然后,我(通过GPO)configuration了两个客户端,将他们的事件转发给事件收集器。
这工作得很好,我从事件收集器上的两个客户端接收事件。 但是,来自其中一个客户端的事件不会在事件详细信息中显示文件名。 相反,它包含这样的东西:
%11被允许运行。
在客户端本地查看事件日志时,事件详细信息包含允许或阻止的文件的path和文件名。 为什么这些信息没有与事件一起转发? (编辑:事实certificate,如果我切换到“详细信息”选项卡,其他信息中的FilePath在友好视图和XML视图中都可以正常显示,但我希望它也显示在“常规”选项卡上。)
另外,来自其他客户端的事件也不能正确显示。 这些事件不是获取实际的事件细节,而是包含以下内容:
无法find源Microsoft-Windows-AppLocker的事件ID 8020的说明。 引发此事件的组件未在本地计算机上安装,或者安装已损坏。 您可以在本地计算机上安装或修复组件。
如果事件发生在另一台计算机上,显示信息必须与事件一起保存。
活动中包含以下信息:
所需消息的语言环境特定资源不存在
这些事件也在计算机上本地正确显示。 在这里,我也可以切换到事件收集器上的“详细信息”选项卡,并查看事件中包含的所有信息,但不能查看“常规”选项卡上的信息。
我发现了一个可能的解决方法,即运行wecutil ss <subscriptionName> /cf:Events来更改订阅的ContentFormat,但是这并没有解决问题。
更新:我已经添加了第三台机器到安装程序,并显示与第一个客户端相同,如%11 was allowed to run 。 然后,我尝试将订阅的ContentFormat从RenderedText(默认)更改为Events,现在来自第二个客户端的事件与其他两个客户端的事件显示相同,例如:
%11被允许运行。
但遗憾的是,常规选项卡上仍然没有显示文件path。
更新:我只是尝试configuration我自己的计算机(这是受制于AppLocker政策)作为事件收集器,但在这里我也有事件显示为“%11被允许运行”的问题。
事件收集器正在运行Windows Server 2012 R2,并且客户端正在运行Windows 10 Enterprise。
有什么build议么?