Configurei um dos servidores em nosso domínio para ser um coletor de eventos para os eventos do AppLocker dos computadores clientes. Eu então (via um GPO) configurei dois clientes para encaminhar seus eventos para o coletor de eventos.
Isso funciona muito bem, estou recebendo eventos de ambos os clientes no coletor de eventos. No entanto, os eventos de um dos clientes não exibem o nome do arquivo nos detalhes do evento. Em vez disso, contém algo assim:
%11 was allowed to run.
Ao exibir os logs de eventos localmente no cliente, os detalhes do evento contêm um caminho e um nome de arquivo para o arquivo que foi permitido ou bloqueado. Por que esta informação não está sendo encaminhada com os eventos? (Edit: Acontece que se eu alternar para a guia Detalhes, o FilePath entre outras informações está sendo exibido muito bem em ambos Friendly View e XML View, mas eu gostaria que ele seja exibido na guia Geral também.)
Além disso, os eventos do outro cliente também não estão sendo exibidos corretamente. Em vez de obter os detalhes reais do evento, os eventos contêm isso:
The description for Event ID 8020 from source Microsoft-Windows-AppLocker cannot be found. Either the component that raises this event is not installed on your local computer or the installation is corrupted. You can install or repair the component on the local computer.
If the event originated on another computer, the display information had to be saved with the event.
The following information was included with the event:
The locale specific resource for the desired message is not present
Esses eventos também são exibidos localmente corretamente no computador. Aqui eu também posso alternar para a guia Detalhes no coletor de eventos e ver todas as informações incluídas no evento, mas não na guia Geral.
Encontrei uma correção possível para isso, que era executar wecutil ss <subscriptionName> /cf:Events para alterar o ContentFormat da assinatura, mas isso não resolveu o problema.
Atualização: adicionei uma terceira máquina à configuração e ela está mostrando o mesmo que o primeiro cliente, como %11 was allowed to run . Em seguida, tentei alterar o ContentFormat da assinatura de RenderedText (padrão) para Eventos, e agora os eventos dos segundos clientes estão exibindo o mesmo que os eventos dos outros dois clientes, como:
%11 was allowed to run.
Mas, infelizmente, ainda não há caminho de arquivo mostrado na guia Geral.
Atualização: Acabei de tentar configurar meu próprio computador (que está sujeito à política do AppLocker) como um coletor de eventos, mas aqui também tenho o problema com eventos sendo mostrados como "% 11 foi autorizado a executar".
O coletor de eventos está executando o Windows Server 2012 R2 e os clientes estão executando o Windows 10 Enterprise.
Alguma sugestão?