我已经将我们域中的一台服务器设置为客户端计算机的 AppLocker 事件收集器。然后我(通过 GPO)配置了两个客户端,以将其事件转发到事件收集器。
这很好用,我在事件收集器上接收来自两个客户端的事件。但是,其中一个客户端的事件未在事件详细信息中显示文件名。相反,它包含以下内容:
%11 被允许运行。
在客户端本地查看事件日志时,事件详细信息包含允许或阻止的文件的路径和文件名。为什么这些信息没有随事件转发?(编辑:事实证明,如果我切换到“详细信息”选项卡,FilePath 和其他信息都会在友好视图和 XML 视图中正常显示,但我希望它也显示在“常规”选项卡上。)
此外,来自其他客户端的事件也无法正确显示。事件没有获取实际的事件详细信息,而是包含以下内容:
无法找到来自源 Microsoft-Windows-AppLocker 的事件 ID 8020 的描述。引发此事件的组件未安装在您的本地计算机上,或者安装已损坏。您可以在本地计算机上安装或修复该组件。
如果事件源自另一台计算机,则显示信息必须与事件一起保存。
此次活动包含以下信息:
所需消息的区域特定资源不存在
这些事件在本地计算机上也能正常显示。在这里我也可以切换到事件收集器上的“详细信息”选项卡并查看事件中包含的所有信息,但在“常规”选项卡上看不到。
我找到了一个可能的解决方法,即运行wecutil ss <subscriptionName> /cf:Events以更改订阅的 ContentFormat,但这并不能解决问题。
更新:我在设置中添加了第三台机器,它显示的内容与第一个客户端相同,例如%11 was allowed to run。然后我尝试将订阅的 ContentFormat 从 RenderedText(默认)更改为 Events,现在第二个客户端的事件显示的内容与另外两个客户端的事件相同,例如:
%11 被允许运行。
但遗憾的是,“常规”选项卡上仍然没有显示文件路径。
更新:我刚刚尝试将自己的计算机(受 AppLocker 策略约束)配置为事件收集器,但在这里我也遇到了事件显示为“%11 被允许运行”的问题。
事件收集器运行的是 Windows Server 2012 R2,而客户端运行的是 Windows 10 Enterprise。
有什么建议么?