De Windows-gebeurtenislogboeken van de Agent geven u inzicht in wat de AutoElevate Agent observeert en hoe deze op het systeem functioneert. Ze kunnen worden verwerkt door een SIEM of syslogservice om gebeurtenissen binnen AutoElevate beter te automatiseren.

Deze functie kan worden in- of uitgeschakeld in de instellingen van het beheerportaal.

Sommige gebeurtenissen bevatten, maar zijn niet beperkt tot, dezelfde informatie die wordt weergegeven op het Gebeurtenissenscherm van de Admin Portal.

De Windows-gebeurtenislogboeken van de agent hebben de volgende voordelen

• Problemen met fouten oplossen
  
• Controle van de authenticatie van technici
  
• UAC-gebeurtenissen opnemen terwijl u offline bent
  
• Verzoek om verhoging van privileges bijhouden
  
• Wijzigingen in bepaalde beveiligingsinstellingen bijhouden
  
• Registratie wanneer een regel is gebruikt
  

Hoe gebruik ik de logs?

De Windows-gebeurtenislogboeken van de agent worden geïmplementeerd met behulp van het Event Tracing for Windows-systeem. Ze kunnen daarom net als elk standaardlogboek in Windows Event Viewer worden bekeken of vastgelegd.

Ze volgen de richtlijnen van Microsoft, inclusief aanbevolen naamgevingsconventies.

Als u een logboekverzamelaar of SIEM-tool gebruikt, kunt u deze met behulp van de onderstaande informatie configureren om de Windows-gebeurtenislogboeken van de agent vast te leggen.

Evenementen

UAC geactiveerd

Trigger: Wanneer er een UAC-prompt verschijnt.

Kanaal: Operationeel

Gebeurtenis-ID: 1000

Versie: 0

Niveau: 4 (informatief)

Taak: 0 (n.v.t.)

Opcode: 0 (n.v.t.)

Trefwoorden: 0x40000000000000009 (UAC, UAC_Agent)

Ondersteunende talen: Engels

Regel toegepast

Trigger: Wanneer een UAC-prompt automatisch wordt afgehandeld door een bestaande regel.

Kanaal: Operationeel

Gebeurtenis-ID: 1001

Versie: 0

Niveau: 4 (informatief)

Taak: 0 (n.v.t.)

Opcode: 0 (n.v.t.)

Trefwoorden: 0x40000000000000009 (UAC, UAC_Agent)

Ondersteunende talen: Engels

Technicusmodus Authenticeren

Trigger: Wanneer een technicus is geauthenticeerd voor een nieuwe sessie in de technicusmodus.

Kanaal: Operationeel

Gebeurtenis-ID: 2000

Versie: 0

Niveau: 4 (informatief)

Taak: 0 (n.v.t.)

Opcode: 0 (n.v.t.)

Trefwoorden: 0x40000000000000024 (Tech_Sess, Tech_Launcher)

Ondersteunende talen: Engels

Agentmodus gewijzigd

Trigger: Wanneer de Agent-modus wordt gewijzigd via het Computerscherm in de Admin Portal.

Kanaal: Operationeel

Gebeurtenis-ID: 3000

Versie: 0

Niveau: 4 (informatief)

Taak: 0 (n.v.t.)

Opcode: 0 (n.v.t.)

Trefwoorden: 0x40000000000000012 (Agent_Config, Agent)

Ondersteunende talen: Engels

UAC-instellingen gewijzigd

Trigger: Wanneer de UAC-instelling wordt gewijzigd via het scherm Computers in de Admin Portal.

Kanaal: Operationeel

Gebeurtenis-ID: 3001

Versie: 0

Niveau: 4 (informatief)

Taak: 0 (n.v.t.)

Opcode: 0 (n.v.t.)

Trefwoorden: 0x40000000000000012 (Agent_Config, Agent)

Ondersteunende talen: Engels

Instelling voor het verwijderen van beheerdersrechten gewijzigd

Trigger: Wanneer de instelling 'Beheerdersrechten verwijderen' wordt gewijzigd via het scherm Instellingen in de beheerportal.

Kanaal: Operationeel

Gebeurtenis-ID: 4000

Versie: 0

Niveau: 4 (informatief)

Taak: 0 (n.v.t.)

Opcode: 0 (n.v.t.)

Trefwoorden: 0x40000000000000012 (Agent_Config, Agent)

Ondersteunende talen: Engels

UAC-laadoverlay-instelling gewijzigd

Trigger: Wanneer de instelling 'UAC-laadoverlay' wordt gewijzigd via het scherm Instellingen in de beheerportal.

Kanaal: Operationeel

Gebeurtenis-ID: 4001

Versie: 0

Niveau: 4 (informatief)

Taak: 0 (n.v.t.)

Opcode: 0 (n.v.t.)

Trefwoorden: 0x40000000000000012 (Agent_Config, Agent)

Ondersteunende talen: Engels

Verzoeken blokkeren van "AppData\Local\Temp"-instelling gewijzigd

Trigger: Wanneer de instelling 'Verzoeken van 'AppData\Local\Temp' blokkeren' wordt gewijzigd via het scherm Instellingen in de Admin Portal.

Kanaal: Operationeel

Gebeurtenis-ID: 4002

Versie: 0

Niveau: 4 (informatief)

Taak: 0 (n.v.t.)

Opcode: 0 (n.v.t.)

Trefwoorden: 0x40000000000000012 (Agent_Config, Agent)

Ondersteunende talen: Engels

Agentregistratiefout

Trigger: Wanneer er een fout is opgetreden tijdens het registratieproces van de agent, waardoor de agent mogelijk niet op het computerscherm van de beheerportal wordt weergegeven.

Kanaal: Beheerder

Gebeurtenis-ID: 5000

Versie: 0

Niveau: 1 (Kritiek)

Taak: 0 (n.v.t.)

Opcode: 0 (n.v.t.)

Trefwoorden: 0x80000000000000110 (Registratie, Agent)

Ondersteunende talen: Engels

Agent-inlogfout

Trigger: Wanneer er een fout optreedt tijdens het aanmeldproces van de agent. Hierdoor wordt de agentstatus mogelijk niet bijgewerkt op het scherm Computers van de beheerportal en wordt de agent mogelijk offline gezet.

Kanaal: Beheerder

Gebeurtenis-ID: 5001

Versie: 0

Niveau: 2 (Fout)

Taak: 0 (n.v.t.)

Opcode: 0 (n.v.t.)

Trefwoorden: 0x80000000000000210 (Inloggen, Agent)

Ondersteunende talen: Engels

Goedkeuringsverzoek verzonden

Trigger: Wanneer een verzoek om verhoging van bevoegdheden naar de technici wordt verzonden.

Kanaal: Operationeel

Gebeurtenis-ID: 6000

Versie: 0

Niveau: 4 (informatief)

Taak: 0 (n.v.t.)

Opcode: 0 (n.v.t.)

Trefwoorden: 0x400000000000000c0 (Goedkeuringsaanvraag, Waarschuwingsagent)

Ondersteunende talen: Engels

Goedkeuringsaanvraag goedgekeurd

Trigger: Wanneer de agent een goedgekeurd antwoord heeft ontvangen over een verhoging van bevoegdheden.

Kanaal: Operationeel

Gebeurtenis-ID: 6001

Versie: 0

Niveau: 4 (informatief)

Taak: 0 (n.v.t.)

Opcode: 0 (n.v.t.)

Trefwoorden: 0x400000000000000c0 (Goedkeuringsaanvraag, Waarschuwingsagent)

Ondersteunende talen: Engels

Goedkeuringsverzoek afgewezen

Trigger: Wanneer de agent een geweigerd antwoord op een verzoek om verhoging van bevoegdheden heeft ontvangen.

Kanaal: Operationeel

Gebeurtenis-ID: 6002

Versie: 0

Niveau: 4 (informatief)

Taak: 0 (n.v.t.)

Opcode: 0 (n.v.t.)

Trefwoorden: 0x400000000000000c0 (Goedkeuringsaanvraag, Waarschuwingsagent)

Ondersteunende talen: Engels

Goedkeuringsverzoek vertraagd

Trigger: Wanneer een verzoek om verhoging van bevoegdheden niet binnen het geconfigureerde timerinterval is afgehandeld. Deze gebeurtenis wordt niet geactiveerd als het timerinterval is uitgeschakeld.

Kanaal: Operationeel

Gebeurtenis-ID: 6003

Versie: 0

Niveau: 4 (informatief)

Taak: 0 (n.v.t.)

Opcode: 0 (n.v.t.)

Trefwoorden: 0x400000000000000c0 (Goedkeuringsaanvraag, Waarschuwingsagent)

Ondersteunende talen: Engels

Kanalen

Operationeel kanaal

Pad: AutoElevate /Operationeel

Type: Operationeel

Informatie: Algemene logging.

Beheerkanaal

Pad: AutoElevate /Admin (voorheen: AutoElevate /Errors)

Type: Beheerder

Informatie: Fouten die vereisen dat beheerders onmiddellijk actie ondernemen.

Trefwoorden

Een lijst met trefwoorden die de gebeurtenislogboeken kunnen bevatten en wat ze vertegenwoordigen.

UAC- De gebeurtenis werd veroorzaakt door de interactie van de Agent met de UAC-prompt.

Agent_Configuratie - De gebeurtenis werd veroorzaakt door een wijziging in de configuratie van de agent.

Tech_Sess - De gebeurtenis werd veroorzaakt door een sessie in de technicusmodus.

Registratie - De gebeurtenis werd veroorzaakt door het registratieproces van de agent.

Inloggen - De gebeurtenis werd veroorzaakt door het inlogproces van de agent.

Approval_Request - De gebeurtenis werd veroorzaakt door een verzoek om hogere bevoegdheden.

UAC_Agent - De gebeurtenis is afkomstig van de AutoElevate UAC Agent.

Agent - De gebeurtenis is afkomstig van de AutoElevate Agent.

Tech_Launcher - Het evenement is afkomstig van de AutoElevate Technician Mode Launcher.

Alert_Agent - De gebeurtenis is afkomstig van de AutoElevate Alert Agent.