Die Windows-Ereignisprotokolle des Agenten geben Ihnen Einblick in die Beobachtungen und Aktionen des AutoElevate Agenten auf dem System. Sie können von einem SIEM- oder Syslog-Dienst übernommen werden, um Ereignisse in AutoElevate besser zu automatisieren.

Diese Funktion kann in den Einstellungen des Admin-Portals aktiviert oder deaktiviert werden.

Einige der Ereignisse enthalten (aber sind nicht beschränkt auf) dieselben Informationen, die auf dem Ereignisbildschirm des Admin-Portals angezeigt werden.

Die Windows-Ereignisprotokolle des Agenten bieten folgende Vorteile

• Fehlerbehebung
  
• Überprüfen der Technikerauthentifizierung
  
• Aufzeichnen von UAC-Ereignissen im Offlinemodus
  
• Nachverfolgen von Anforderungen zur Rechteerweiterung
  
• Nachverfolgen von Änderungen an bestimmten Sicherheitseinstellungen
  
• Aufzeichnen, wann eine Regel verwendet wurde
  

Wie verwende ich die Protokolle?

Die Windows-Ereignisprotokolle des Agenten werden mithilfe der Ereignisablaufverfolgung für Windows implementiert. Daher können sie wie jedes standardisierte Protokoll in der Windows-Ereignisanzeige angezeigt oder erfasst werden.

Sie folgen den Richtlinien von Microsoft, einschließlich der empfohlenen Namenskonventionen.

Wenn Sie einen Protokollsammler oder ein SIEM-Tool verwenden, können Sie es mithilfe der folgenden Informationen so konfigurieren, dass die Windows-Ereignisprotokolle des Agenten erfasst werden.

Veranstaltungen

UAC ausgelöst

Auslöser: Wenn eine UAC-Eingabeaufforderung angezeigt wird.

Kanal: Betriebsbereit

Ereignis-ID: 1000

Version: 0

Level: 4 (Informativ)

Aufgabe: 0 (N/A)

Operationscode: 0 (Nicht zutreffend)

Schlüsselwörter: 0x4000000000000009 (UAC, UAC_Agent)

Supportsprachen: Englisch

Angewendete Regel

Auslöser: Wenn eine UAC-Eingabeaufforderung automatisch durch eine vorhandene Regel verarbeitet wird.

Kanal: Betriebsbereit

Ereignis-ID: 1001

Version: 0

Level: 4 (Informativ)

Aufgabe: 0 (N/A)

Operationscode: 0 (Nicht zutreffend)

Schlüsselwörter: 0x4000000000000009 (UAC, UAC_Agent)

Supportsprachen: Englisch

Technikermodus-Authentifizierung

Auslöser: Wenn ein Techniker für eine neue Sitzung im Technikermodus authentifiziert wurde.

Kanal: Betriebsbereit

Ereignis-ID: 2000

Version: 0

Level: 4 (Informativ)

Aufgabe: 0 (N/A)

Operationscode: 0 (Nicht zutreffend)

Schlüsselwörter: 0x4000000000000024 (Tech_Sess, Tech_Launcher)

Supportsprachen: Englisch

Agentenmodus geändert

Auslöser: Wenn der Agentenmodus über den Computerbildschirm im Admin-Portal geändert wird.

Kanal: Betriebsbereit

Ereignis-ID: 3000

Version: 0

Level: 4 (Informativ)

Aufgabe: 0 (N/A)

Operationscode: 0 (Nicht zutreffend)

Schlüsselwörter: 0x4000000000000012 (Agent_Config, Agent)

Supportsprachen: Englisch

UAC-Einstellungen geändert

Auslöser: Wenn die UAC-Einstellung über den Computerbildschirm im Admin-Portal geändert wird.

Kanal: Betriebsbereit

Ereignis-ID: 3001

Version: 0

Level: 4 (Informativ)

Aufgabe: 0 (N/A)

Operationscode: 0 (Nicht zutreffend)

Schlüsselwörter: 0x4000000000000012 (Agent_Config, Agent)

Supportsprachen: Englisch

Einstellung zum Entfernen von Administratorrechten geändert

Auslöser: Wenn die Einstellung „Administratorrechte entfernen“ im Einstellungsbildschirm des Administratorportals geändert wird.

Kanal: Betriebsbereit

Ereignis-ID: 4000

Version: 0

Level: 4 (Informativ)

Aufgabe: 0 (N/A)

Operationscode: 0 (Nicht zutreffend)

Schlüsselwörter: 0x4000000000000012 (Agent_Config, Agent)

Supportsprachen: Englisch

UAC-Lade-Overlay-Einstellung geändert

Auslöser: Wenn die Einstellung „UAC Loading Overlay“ im Einstellungsbildschirm des Admin-Portals geändert wird.

Kanal: Betriebsbereit

Ereignis-ID: 4001

Version: 0

Level: 4 (Informativ)

Aufgabe: 0 (N/A)

Operationscode: 0 (Nicht zutreffend)

Schlüsselwörter: 0x4000000000000012 (Agent_Config, Agent)

Supportsprachen: Englisch

Einstellung zum Blockieren von Anfragen von „AppData\Local\Temp“ geändert

Auslöser: Wenn die Einstellung „Anfragen von ‚AppData\Local\Temp‘ blockieren“ im Einstellungsbildschirm des Admin-Portals geändert wird.

Kanal: Betriebsbereit

Ereignis-ID: 4002

Version: 0

Level: 4 (Informativ)

Aufgabe: 0 (N/A)

Operationscode: 0 (Nicht zutreffend)

Schlüsselwörter: 0x4000000000000012 (Agent_Config, Agent)

Supportsprachen: Englisch

Fehler bei der Agentenregistrierung

Auslöser: Wenn beim Registrierungsprozess des Agenten ein Fehler auftritt, der möglicherweise verhindert, dass der Agent auf dem Computerbildschirm des Admin-Portals angezeigt wird.

Kanal: Admin

Ereignis-ID: 5000

Version: 0

Level: 1 (Kritisch)

Aufgabe: 0 (N/A)

Operationscode: 0 (Nicht zutreffend)

Schlüsselwörter: 0x8000000000000110 (Registrierung, Agent)

Supportsprachen: Englisch

Agent-Anmeldefehler

Auslöser: Wenn beim Anmeldevorgang des Agenten ein Fehler auftritt, der dazu führen kann, dass der Agentenstatus auf dem Computerbildschirm des Admin-Portals nicht aktualisiert wird und der Agent in den Offline-Modus versetzt wird.

Kanal: Admin

Ereignis-ID: 5001

Version: 0

Level: 2 (Fehler)

Aufgabe: 0 (N/A)

Operationscode: 0 (Nicht zutreffend)

Schlüsselwörter: 0x8000000000000210 (Anmeldung, Agent)

Supportsprachen: Englisch

Genehmigungsanfrage gesendet

Auslöser: Wenn eine Anfrage zur Rechteerweiterung an die Techniker gesendet wird.

Kanal: Betriebsbereit

Ereignis-ID: 6000

Version: 0

Level: 4 (Informativ)

Aufgabe: 0 (N/A)

Operationscode: 0 (Nicht zutreffend)

Schlüsselwörter: 0x40000000000000c0 (Approval_Request, Alert_Agent)

Supportsprachen: Englisch

Genehmigungsanfrage genehmigt

Auslöser: Wenn der Agent eine genehmigte Antwort zur Rechteerweiterung erhalten hat.

Kanal: Betriebsbereit

Ereignis-ID: 6001

Version: 0

Level: 4 (Informativ)

Aufgabe: 0 (N/A)

Operationscode: 0 (Nicht zutreffend)

Schlüsselwörter: 0x40000000000000c0 (Approval_Request, Alert_Agent)

Supportsprachen: Englisch

Genehmigungsanfrage abgelehnt

Auslöser: Wenn der Agent eine abgelehnte Antwort zur Rechteerweiterung erhalten hat.

Kanal: Betriebsbereit

Ereignis-ID: 6002

Version: 0

Level: 4 (Informativ)

Aufgabe: 0 (N/A)

Operationscode: 0 (Nicht zutreffend)

Schlüsselwörter: 0x40000000000000c0 (Approval_Request, Alert_Agent)

Supportsprachen: Englisch

Genehmigungsanfrage verzögert

Auslöser: Wenn eine Anforderung zur Rechteerweiterung nicht innerhalb des konfigurierten Zeitintervalls bearbeitet wurde. Dieses Ereignis wird nicht ausgelöst, wenn das Zeitintervall deaktiviert wurde.

Kanal: Betriebsbereit

Ereignis-ID: 6003

Version: 0

Level: 4 (Informativ)

Aufgabe: 0 (N/A)

Operationscode: 0 (Nicht zutreffend)

Schlüsselwörter: 0x40000000000000c0 (Approval_Request, Alert_Agent)

Supportsprachen: Englisch

Kanäle

Betriebskanal

Pfad: AutoElevate /Operational

Typ: Betriebsbereit

Information: Allgemeine Protokollierung.

Admin-Kanal

Pfad: AutoElevate /Admin (Vorher: AutoElevate /Errors)

Typ: Admin

Information: Fehler, die sofortiges Handeln durch Administratoren erfordern.

Schlüsselwörter

Eine Liste mit Schlüsselwörtern, die die Ereignisprotokolle enthalten können, und was sie darstellen.

Benutzerkontensteuerung - Das Ereignis wurde durch die Interaktion des Agenten mit der UAC-Eingabeaufforderung verursacht.

Agent_Config - Das Ereignis wurde durch eine Änderung der Agentenkonfiguration verursacht.

Tech_Sess – Das Ereignis wurde durch eine Sitzung im Technikermodus verursacht.

Registrierung – Das Ereignis wurde durch den Registrierungsprozess des Agenten verursacht.

Anmelden – Das Ereignis wurde durch den Anmeldevorgang des Agenten verursacht.

Approval_Request – Das Ereignis wurde durch eine Anforderung zur Rechteerweiterung verursacht.

UAC_Agent – Das Ereignis stammt vom AutoElevate UAC-Agent.

Agent – Das Ereignis stammt vom AutoElevate -Agent.

Tech_Launcher – Das Ereignis stammt vom AutoElevate Technician Mode Launcher.

Alert_Agent – Das Ereignis stammt vom AutoElevate Alert Agent.