変更監視 イベント

イベントに関する一般的なベストプラクティスについては、を参照してください。のイベントWorkload Security

Workload Securityによって取得された 変更監視 イベントを確認するには、イベント&レポート→イベント→ 変更監視 イベントに移動します。

変更監視 イベントにはどのような情報が表示されますか?

[変更監視イベント] 画面には次の列が表示されます。[列]をクリックすると、表に表示する列を選択できます。

  • 時間: イベントがコンピュータで発生した時間。
  • コンピュータ: このイベントがログに記録されたコンピュータです。(コンピュータが削除されている場合、このエントリは「不明コンピュータ」と表示されます)。
  • 理由: このイベントに関連付けられている 変更監視 ルール。
  • タグ: このイベントに適用されているイベントタグ。
  • 変更: 変更が整合性ルールによって検出されました。値は、「作成」、「アップデート」、「削除」、または「拡張子変更」のいずれかです。
  • ランク: ランキングシステムは、イベントの重要度を数値化する方法を提供します。コンピュータに「資産評価」を、ルールに「重要度」を割り当て、これら2つの値を掛け合わせることによって、イベントの重要度 (ランク) が計算されます。これによって、イベントをランクでソートできます。
  • 重大度: 変更監視 ルールの重大度値
  • 種類: イベントの発生元であるエンティティの種類
  • キー: イベントの発生元であるパスおよびファイル名またはレジストリキー
  • ユーザ: ファイル所有者のユーザID
  • プロセス: イベントの発生元であるプロセス
  • イベントの起点: イベントが発生した Workload Security コンポーネント

すべての 変更監視 イベントのリスト

ID 重要度 イベント 備考
8000 情報 完全なベースラインの作成 エージェントがベースラインの作成を要求されたか、または0 変更監視 ルールからn(ベースラインを構築するために)に実行されたときに作成されます。このイベントには、検索にかかった時間 (ミリ秒) およびカタログ化されたエンティティ数の情報が含まれます。
8001 情報 部分的なベースラインの作成 エージェントが1つ以上の 変更監視 ルールが変更されたセキュリティ設定があったときに作成されます。このイベントには、検索にかかった時間 (ミリ秒) およびカタログ化されたエンティティ数の情報が含まれます。
8002 情報 変更の検索の完了 Agentに対して完全または部分的な手動検索が要求された場合に作成されます。このイベントには、検索にかかった時間 (ミリ秒) およびカタログ化された変更数の情報が含まれます。ファイルシステムドライバまたは通知に基づく変更に対する継続検索では、8002イベントは生成されません。
8003 エラー 変更監視ルール内の不明な環境変数 ルールで ${env.EnvironmentVar} が使用されていて、「EnvironmentVar」が既知の環境変数でない場合に作成されます。このイベントには、問題を含む 変更監視 ルールのID、 変更監視 ルールの名前、および不明な環境変数の名前が含まれます。
8004 エラー 変更監視ルール内の不正なベース値 無効な基本ディレクトリまたはキーがルールに含まれる場合に作成されます。たとえば、基本ディレクトリが「c:\foo\d:\bar」のFileSetを指定すると、このイベントが生成されます。または、環境変数の置き換えによって無効な値が生成される場合もあります。このイベントには、問題を含む 変更監視 ルールのID、 変更監視 ルールの名前、および不良な基本値が含まれます。
8005 エラー 変更監視ルール内の不明なエンティティ 変更監視 ルールで不明なエンティティセットが検出された場合に作成されます。このイベントには、問題を含む 変更監視 ルールのID、 変更監視 ルールの名前、および検出された未知のEntitySet名のカンマ区切りリストが含まれます。
8006 エラー 変更監視ルール内のサポートされていないエンティティ 既知であるがサポートされていないエンティティセットが 変更監視 ルールで検出された場合に作成されます。このイベントには、問題を含む 変更監視 ルールのID、 変更監視 ルールの名前、およびサポートされていないEntitySet名のカンマ区切りリストが含まれます。RegistryKeySetなどの一部のEntitySetの種類はプラットフォームに固有です。
8007 エラー 変更監視ルール内の不明な機能 変更監視 ルールで不明な機能が検出された場合に作成されます。このイベントには、問題を含む 変更監視 ルールのID、 変更監視 ルールの名前、エンティティセットの種類(たとえば、FileSet), 、および不明な機能名がカンマで区切られたリスト)が含まれます。有効な機能値の例は、「whereBaseInOtherSet」、「status」、および「executable」です。
8008 エラー 変更監視ルール内のサポートされていない機能 変更監視 ルールでサポートされていない既知の機能が検出された場合に作成されます。このイベントには、問題を含む 変更監視 ルールのID、 変更監視 ルールの名前、エンティティセットの種類(たとえば、FileSet), 、およびサポートされていない機能名のカンマ区切りリスト)が含まれます。Windowsサービスの状態を表す「status」などの一部の機能値はプラットフォームに固有です。
8009 エラー 変更監視ルール内の不明な属性 変更監視 ルールで不明な属性が検出された場合に作成されます。このイベントには、問題が含まれる 変更監視 ルールのID、 変更監視 ルールの名前、エンティティセットの種類(たとえば、FileSet), 、および検出された未知の属性名のカンマ区切りのリスト)が含まれます。有効な属性値の例は、「created」、「lastModified」、および「inodeNumber」です。
8010 エラー 変更監視ルール内のサポートされていない属性 既知であるがサポートされていない属性が 変更監視 ルールで検出された場合に作成されます。このイベントには、問題を含む 変更監視 ルールのID、 変更監視 ルールの名前、エンティティセットの種類(たとえば、FileSet), 、およびサポートされていない属性名がカンマで区切られたリスト)が含まれます。「inodeNumber」などの一部の属性値はプラットフォームに固有です。
8011 エラー 変更監視ルール内のエンティティセットの不明な属性 変更監視 ルールで不明なEntitySet XML属性が検出された場合に作成されます。このイベントには、問題を含む 変更監視 ルールのID、 変更監視 ルールの名前、エンティティセットの種類(たとえば、FileSet), 、および検出された未知のEntitySet属性名のカンマ区切りのリスト)が含まれます。 。このイベントは、< FileSet dir = "c:\foo">と記述した場合に表示されます。< FileSet base = "c:\foo">の代わりに使用します。
8012 エラー 変更監視ルール内の不明なレジストリ文字列 ルールが存在しないレジストリキーを参照している場合に作成されます。このイベントには、問題を含む 変更監視 ルールのID、 変更監視 ルールの名前、および不明なレジストリ文字列の名前が含まれます。
8013 エラー WQLSetが無効です。名前空間またはWQLクエリが見つかりませんでした。 変更監視ルールXMLの形式が正しくないため、WQLクエリ内に名前空間が見つからないことを示しています。WQLクエリを使用および監視するカスタム変更監視ルールが使用される、高度な事例でのみ発生します。
8014 エラー WQLSetが無効です。不明なプロバイダ値が使用されています。
8015 警告 適用できない変更監視ルール プラットフォームの不一致、存在しないターゲットディレクトリやファイル、サポートされていない機能など、いくつかの理由によって発生する可能性があります。
8016 警告 2番目に最適な変更監視ルール検出
8050 エラー 正規表現をコンパイルできませんでした。無効なワイルドカードが使用されています。