Les journaux d'événements Windows de l'agent vous offrent une visibilité sur les observations de l'agent AutoElevate et son fonctionnement sur le système. Ils peuvent être ingérés par un service SIEM ou Syslog pour mieux automatiser les événements survenant dans AutoElevate .

Cette fonctionnalité peut être activée ou désactivée dans les paramètres du portail d'administration.

Certains événements contiennent, sans s'y limiter, les mêmes informations que celles affichées sur l'écran Événements du portail d'administration.

Les journaux d'événements Windows de l'agent présentent les avantages suivants

• Dépannage des erreurs
  
• Authentification des techniciens d'audit
  
• Enregistrement des événements UAC hors ligne
  
• Demande d'élévation des privilèges de suivi
  
• Suivi des modifications apportées à certains paramètres de sécurité
  
• Enregistrement lorsqu'une règle a été utilisée
  

Comment utiliser les journaux ?

Les journaux d'événements Windows de l'agent sont implémentés à l'aide du suivi d'événements pour Windows. Ils peuvent donc être consultés ou capturés comme n'importe quel journal standardisé disponible dans l'Observateur d'événements Windows.

Ils suivent les directives de Microsoft, y compris les conventions de dénomination recommandées.

Si vous utilisez un collecteur de journaux ou un outil SIEM, à l'aide des informations ci-dessous, vous pourrez le configurer pour capturer les journaux d'événements Windows de l'agent.

Événements

UAC déclenché

Déclencheur : lorsqu’une invite UAC apparaît.

Canal : Opérationnel

ID d'événement : 1 000

Version : 0

Niveau : 4 (informatif)

Tâche : 0 (N/A)

Code d'opération : 0 (N/A)

Mots-clés : 0x4000000000000009 (UAC, UAC_Agent)

Langues de support : anglais

Règle appliquée

Déclencheur : lorsqu’une invite UAC est automatiquement gérée par une règle existante.

Canal : Opérationnel

ID d'événement : 1001

Version : 0

Niveau : 4 (informatif)

Tâche : 0 (N/A)

Code d'opération : 0 (N/A)

Mots-clés : 0x4000000000000009 (UAC, UAC_Agent)

Langues de support : anglais

Authentification en mode technicien

Déclencheur : lorsqu'un technicien a été authentifié pour une nouvelle session en mode technicien.

Canal : Opérationnel

ID d'événement : 2000

Version : 0

Niveau : 4 (informatif)

Tâche : 0 (N/A)

Code d'opération : 0 (N/A)

Mots-clés : 0x4000000000000024 (Tech_Sess, Tech_Launcher)

Langues de support : anglais

Mode agent modifié

Déclencheur : lorsque le mode Agent est modifié à partir de l’écran Ordinateurs dans le portail d’administration.

Canal : Opérationnel

ID d'événement : 3000

Version : 0

Niveau : 4 (informatif)

Tâche : 0 (N/A)

Code d'opération : 0 (N/A)

Mots-clés : 0x4000000000000012 (Agent_Config, Agent)

Langues de support : anglais

Paramètres UAC modifiés

Déclencheur : lorsque le paramètre UAC est modifié à partir de l’écran Ordinateurs dans le portail d’administration.

Canal : Opérationnel

ID d'événement : 3001

Version : 0

Niveau : 4 (informatif)

Tâche : 0 (N/A)

Code d'opération : 0 (N/A)

Mots-clés : 0x4000000000000012 (Agent_Config, Agent)

Langues de support : anglais

Supprimer les privilèges d'administrateur : paramètre modifié

Déclencheur : lorsque le paramètre « Supprimer les privilèges d’administrateur » est modifié à partir de l’écran Paramètres du portail d’administration.

Canal : Opérationnel

ID d'événement : 4000

Version : 0

Niveau : 4 (informatif)

Tâche : 0 (N/A)

Code d'opération : 0 (N/A)

Mots-clés : 0x4000000000000012 (Agent_Config, Agent)

Langues de support : anglais

Modification du paramètre de superposition de chargement UAC

Déclencheur : lorsque le paramètre « Superposition de chargement UAC » est modifié à partir de l’écran Paramètres du portail d’administration.

Canal : Opérationnel

ID d'événement : 4001

Version : 0

Niveau : 4 (informatif)

Tâche : 0 (N/A)

Code d'opération : 0 (N/A)

Mots-clés : 0x4000000000000012 (Agent_Config, Agent)

Langues de support : anglais

Modification du paramètre « Bloquer les requêtes de « AppData\Local\Temp » »

Déclencheur : lorsque le paramètre « Bloquer les demandes de « AppData\Local\Temp » » est modifié à partir de l'écran Paramètres du portail d'administration.

Canal : Opérationnel

ID d'événement : 4002

Version : 0

Niveau : 4 (informatif)

Tâche : 0 (N/A)

Code d'opération : 0 (N/A)

Mots-clés : 0x4000000000000012 (Agent_Config, Agent)

Langues de support : anglais

Erreur d'enregistrement de l'agent

Déclencheur : lorsqu'une erreur se produit lors du processus d'enregistrement de l'agent, ce qui peut empêcher l'agent d'apparaître sur l'écran Ordinateurs du portail d'administration.

Chaîne : Admin

ID d'événement : 5 000

Version : 0

Niveau : 1 (Critique)

Tâche : 0 (N/A)

Code d'opération : 0 (N/A)

Mots-clés : 0x8000000000000110 (Enregistrement, Agent)

Langues de support : anglais

Erreur de connexion de l'agent

Déclencheur : lorsqu'une erreur se produit lors du processus de connexion de l'agent, ce qui peut empêcher la mise à jour du statut de l'agent sur l'écran Ordinateurs du portail d'administration et peut mettre l'agent en mode hors ligne.

Chaîne : Admin

ID d'événement : 5001

Version : 0

Niveau : 2 (Erreur)

Tâche : 0 (N/A)

Code d'opération : 0 (N/A)

Mots-clés : 0x8000000000000210 (Connexion, Agent)

Langues de support : anglais

Demande d'approbation envoyée

Déclencheur : lorsqu'une demande d'élévation de privilèges est envoyée aux techniciens.

Canal : Opérationnel

ID d'événement : 6000

Version : 0

Niveau : 4 (informatif)

Tâche : 0 (N/A)

Code d'opération : 0 (N/A)

Mots-clés : 0x40000000000000c0 (Approval_Request, Alert_Agent)

Langues de support : anglais

Demande d'approbation approuvée

Déclencheur : lorsque l’agent a reçu une réponse d’élévation de privilèges comme étant approuvée.

Canal : Opérationnel

ID d'événement : 6001

Version : 0

Niveau : 4 (informatif)

Tâche : 0 (N/A)

Code d'opération : 0 (N/A)

Mots-clés : 0x40000000000000c0 (Approval_Request, Alert_Agent)

Langues de support : anglais

Demande d'approbation refusée

Déclencheur : lorsque l'agent a reçu une réponse d'élévation de privilèges comme étant refusée.

Canal : Opérationnel

ID d'événement : 6002

Version : 0

Niveau : 4 (informatif)

Tâche : 0 (N/A)

Code d'opération : 0 (N/A)

Mots-clés : 0x40000000000000c0 (Approval_Request, Alert_Agent)

Langues de support : anglais

Demande d'approbation retardée

Déclencheur : lorsqu'une demande d'élévation de privilèges n'a pas été traitée dans le délai configuré. Cet événement ne se déclenche pas si le délai est désactivé.

Canal : Opérationnel

ID d'événement : 6003

Version : 0

Niveau : 4 (informatif)

Tâche : 0 (N/A)

Code d'opération : 0 (N/A)

Mots-clés : 0x40000000000000c0 (Approval_Request, Alert_Agent)

Langues de support : anglais

Chaînes

Canal opérationnel

Chemin : AutoElevate / Opérationnel

Type : Opérationnel

Information : Journalisation générale.

Canal d'administration

Chemin : AutoElevate /Admin (précédemment : AutoElevate /Errors)

Type : Admin

Information : Erreurs suggérant une action immédiate de la part des administrateurs.

Mots-clés

Une liste de mots-clés que les journaux d’événements peuvent contenir et ce qu’ils représentent.

UAC - L'événement a été provoqué par l'interaction des agents avec l'invite UAC.

Agent_Config - L'événement a été provoqué par une modification de la configuration de l'agent.

Tech_Sess - L'événement a été provoqué par une session en mode technicien.

Inscription - L'événement a été provoqué par le processus d'inscription de l'agent.

Connexion - L'événement a été provoqué par le processus de connexion de l'agent.

Approval_Request - L'événement a été provoqué par une demande d'élévation de privilèges.

UAC_Agent - L'événement provient de l'agent UAC AutoElevate .

Agent - L'événement provient de l'agent AutoElevate .

Tech_Launcher - L'événement provient du lanceur de mode technicien AutoElevate .

Alert_Agent - L'événement provient de l'agent d'alerte AutoElevate .