现在,如果 AppLocker 阻止某个程序,它只会记录在用户的本地事件日志中。
是否可以设置一个事件日志,其中记录任何用户的事件,管理员可以访问这些事件?因此,如果用户 1 尝试执行被阻止的 .exe,而用户 2 尝试执行同样被阻止的程序,两者是否都会显示在一个日志中?
GPO 中有类似的东西吗?
此致
答案1
答案2
Windows 管理员可以远程连接到其域中的 Windows PC 的日志。
如果您只是在寻找单个事件,您可以编写一个脚本来扫描日志以查找事件并以某种方式通知您。您甚至可以在 Windows 中创建自定义事件日志并将其记录在那里。
但是,如果您所在的组织拥有大量计算机、非 Windows 机器、正在寻找许多事件、在远程网络上有机器等,那么您应该研究专业的日志监视器。