I registri eventi di Windows dell'agente sono forniti per offrire visibilità su ciò che l'agente AutoElevate osserva e su come opera sul sistema. Possono essere acquisiti da un servizio SIEM o syslog per automatizzare al meglio gli eventi che si verificano all'interno di AutoElevate .

Questa funzionalità può essere abilitata o disabilitata nelle impostazioni del portale di amministrazione.

Alcuni eventi contengono, tra le altre cose, le stesse informazioni mostrate nella schermata Eventi del Portale di amministrazione.

I registri eventi di Windows dell'agente presentano i seguenti vantaggi

• Risoluzione dei problemi degli errori
  
• Autenticazione del tecnico di auditing
  
• Registrazione degli eventi UAC offline
  
• Richiesta di elevazione dei privilegi di tracciamento
  
• Monitoraggio delle modifiche apportate a determinate impostazioni di sicurezza
  
• Registrazione quando è stata utilizzata una regola
  

Come utilizzare i registri?

I registri eventi di Windows dell'agente sono implementati utilizzando il sistema Event Tracing per Windows. Pertanto, possono essere visualizzati o acquisiti come qualsiasi registro standard presente nel Visualizzatore eventi di Windows.

Seguono le linee guida di Microsoft, comprese le convenzioni di denominazione consigliate.

Se si utilizza uno strumento di raccolta registri o SIEM, con l'aiuto delle informazioni riportate di seguito sarà possibile configurarlo per acquisire i registri eventi di Windows dell'agente.

Eventi

UAC scattato

Trigger: quando viene visualizzata una richiesta UAC.

Canale: Operativo

ID evento: 1000

Versione: 0

Livello: 4 (Informativo)

Attività: 0 (N/D)

Codice operativo: 0 (N/D)

Parole chiave: 0x4000000000000009 (UAC, UAC_Agent)

Lingue supportate: inglese

Regola applicata

Trigger: quando una richiesta UAC viene gestita automaticamente da una regola esistente.

Canale: Operativo

ID evento: 1001

Versione: 0

Livello: 4 (Informativo)

Attività: 0 (N/D)

Codice operativo: 0 (N/D)

Parole chiave: 0x4000000000000009 (UAC, UAC_Agent)

Lingue supportate: inglese

Autenticazione in modalità tecnico

Trigger: quando un tecnico è stato autenticato per una nuova sessione in modalità tecnico.

Canale: Operativo

ID evento: 2000

Versione: 0

Livello: 4 (Informativo)

Attività: 0 (N/D)

Codice operativo: 0 (N/D)

Parole chiave: 0x4000000000000024 (Tech_Sess, Tech_Launcher)

Lingue supportate: inglese

Modalità agente modificata

Trigger: quando la modalità Agente viene modificata dalla schermata Computer nel Portale di amministrazione.

Canale: Operativo

ID evento: 3000

Versione: 0

Livello: 4 (Informativo)

Attività: 0 (N/D)

Codice operativo: 0 (N/D)

Parole chiave: 0x4000000000000012 (Agent_Config, Agent)

Lingue supportate: inglese

Impostazioni UAC modificate

Trigger: quando l'impostazione UAC viene modificata dalla schermata Computer nel portale di amministrazione.

Canale: Operativo

ID evento: 3001

Versione: 0

Livello: 4 (Informativo)

Attività: 0 (N/D)

Codice operativo: 0 (N/D)

Parole chiave: 0x4000000000000012 (Agent_Config, Agent)

Lingue supportate: inglese

Rimuovi impostazione privilegi amministratore modificata

Trigger: quando l'impostazione "Rimuovi privilegi di amministratore" viene modificata dalla schermata Impostazioni nel portale di amministrazione.

Canale: Operativo

ID evento: 4000

Versione: 0

Livello: 4 (Informativo)

Attività: 0 (N/D)

Codice operativo: 0 (N/D)

Parole chiave: 0x4000000000000012 (Agent_Config, Agent)

Lingue supportate: inglese

Impostazione di sovrapposizione caricamento UAC modificata

Trigger: quando l'impostazione "UAC Loading Overlay" viene modificata dalla schermata Impostazioni nel portale di amministrazione.

Canale: Operativo

ID evento: 4001

Versione: 0

Livello: 4 (Informativo)

Attività: 0 (N/D)

Codice operativo: 0 (N/D)

Parole chiave: 0x4000000000000012 (Agent_Config, Agent)

Lingue supportate: inglese

Impostazioni di blocco richieste "AppData\Local\Temp" modificate

Trigger: quando l'impostazione "Blocca richieste da 'AppData\Local\Temp'" viene modificata dalla schermata Impostazioni nel portale di amministrazione.

Canale: Operativo

ID evento: 4002

Versione: 0

Livello: 4 (Informativo)

Attività: 0 (N/D)

Codice operativo: 0 (N/D)

Parole chiave: 0x4000000000000012 (Agent_Config, Agent)

Lingue supportate: inglese

Errore di registrazione dell'agente

Trigger: quando si verifica un errore nel processo di registrazione dell'agente che potrebbe impedire la visualizzazione dell'agente nella schermata Computer del portale di amministrazione.

Canale: Admin

ID evento: 5000

Versione: 0

Livello: 1 (Critico)

Attività: 0 (N/D)

Codice operativo: 0 (N/D)

Parole chiave: 0x8000000000000110 (Registrazione, Agente)

Lingue supportate: inglese

Errore di accesso dell'agente

Trigger: quando si verifica un errore nel processo di accesso dell'agente che potrebbe impedire l'aggiornamento dello stato dell'agente nella schermata Computer del portale di amministrazione e potrebbe mettere l'agente in modalità offline.

Canale: Admin

ID evento: 5001

Versione: 0

Livello: 2 (Errore)

Attività: 0 (N/D)

Codice operativo: 0 (N/D)

Parole chiave: 0x8000000000000210 (Accesso, Agente)

Lingue supportate: inglese

Richiesta di approvazione inviata

Trigger: quando viene inviata una richiesta di elevazione dei privilegi ai tecnici.

Canale: Operativo

ID evento: 6000

Versione: 0

Livello: 4 (Informativo)

Attività: 0 (N/D)

Codice operativo: 0 (N/D)

Parole chiave: 0x40000000000000c0 (Richiesta_di_approvazione, Agente_di_avviso)

Lingue supportate: inglese

Richiesta di approvazione approvata

Trigger: quando l'agente ha ricevuto una risposta di elevazione dei privilegi come approvata.

Canale: Operativo

ID evento: 6001

Versione: 0

Livello: 4 (Informativo)

Attività: 0 (N/D)

Codice operativo: 0 (N/D)

Parole chiave: 0x40000000000000c0 (Richiesta_di_approvazione, Agente_di_avviso)

Lingue supportate: inglese

Richiesta di approvazione negata

Trigger: quando l'agente ha ricevuto una risposta di elevazione dei privilegi come negata.

Canale: Operativo

ID evento: 6002

Versione: 0

Livello: 4 (Informativo)

Attività: 0 (N/D)

Codice operativo: 0 (N/D)

Parole chiave: 0x40000000000000c0 (Richiesta_di_approvazione, Agente_di_avviso)

Lingue supportate: inglese

Richiesta di approvazione ritardata

Trigger: quando una richiesta di elevazione dei privilegi non è stata gestita entro l'intervallo di tempo configurato. Questo evento non verrà attivato se l'intervallo di tempo è stato disabilitato.

Canale: Operativo

ID evento: 6003

Versione: 0

Livello: 4 (Informativo)

Attività: 0 (N/D)

Codice operativo: 0 (N/D)

Parole chiave: 0x40000000000000c0 (Richiesta_di_approvazione, Agente_di_avviso)

Lingue supportate: inglese

Canali

Canale operativo

Percorso: AutoElevate /Operativo

Tipo: Operativo

Informazioni: Registrazione generale.

Canale di amministrazione

Percorso: AutoElevate /Admin (in precedenza: AutoElevate /Errors)

Tipo: Amministratore

Informazioni: errori che suggeriscono un'azione immediata da parte degli amministratori.

Parole chiave

Elenco delle parole chiave che i registri eventi possono contenere e cosa rappresentano.

UAC - L'evento è stato causato dall'interazione degli agenti con il prompt UAC.

Agent_Config - L'evento è stato causato da una modifica alla configurazione dell'agente.

Tech_Sess - L'evento è stato causato da una sessione in modalità tecnico.

Registrazione - L'evento è stato causato dal processo di registrazione dell'agente.

Accesso : l'evento è stato causato dal processo di accesso dell'agente.

Approval_Request - L'evento è stato causato da una richiesta di elevazione dei privilegi.

UAC_Agent : l'evento ha avuto origine dall'agente UAC AutoElevate .

Agente : l'evento ha avuto origine dall'agente AutoElevate .

Tech_Launcher - L'evento ha avuto origine dal launcher della modalità tecnico AutoElevate .

Alert_Agent : l'evento è stato originato dall'agente di avviso AutoElevate .