Jans Cloud

AppLocker Event Log vergrößern

AppLocker Event Log vergrößern
Gruppenrichtlinien Einstellungen Registry: AppLocker Event Log vergrößern

Wer AppLocker im Audit Mode oder später auch enforced betreibt, stellt schnell fest, dass sich der AppLocker Event Log rasant füllt bzw. überschreibt. Daher hier die Möglichkeiten die Größe des Event Logs per Script oder Gruppenrichtlinie zu vergrößern.

Option 1a) Per PowerShell Script, welches auf den Clients als Aufgabe, StartUp Script oder zentral per bspw. „Invoke-Command (Invoke-Command (Microsoft.PowerShell.Core) – PowerShell | Microsoft Learn)“ ausgeführt wird:

$RegKeys = @(
    "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Channels\Microsoft-Windows-AppLocker/EXE and DLL"
    "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Channels\Microsoft-Windows-AppLocker/MSI and Script"
    "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Channels\Microsoft-Windows-AppLocker/Packaged app-Deployment"
    "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Channels\Microsoft-Windows-AppLocker/Packaged app-Execution"
)

# 104857600 entspricht 100 MB
foreach($k in $RegKeys){
    Set-ItemProperty -Path $k `
        -Name "MaxSize" `
        -Value 104857600

    Set-ItemProperty -Path $k `
        -Name "MaxSizeUpper" `
        -Value 0
}

Option 1b) Per Batch Script, welches auf den Clients als Aufgabe oder StartUp Script läuft:

reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Channels\Microsoft-Windows-AppLocker/EXE and DLL" /v MaxSize /t REG_DWORD /d 104857600 /f
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Channels\Microsoft-Windows-AppLocker/EXE and DLL" /v MaxSizeUpper /t REG_DWORD /d 0 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Channels\Microsoft-Windows-AppLocker/MSI and Script" /v MaxSize /t REG_DWORD /d 104857600 /f
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Channels\Microsoft-Windows-AppLocker/MSI and Script" /v MaxSizeUpper /t REG_DWORD /d 0 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Channels\Microsoft-Windows-AppLocker/Packaged app-Deployment" /v MaxSize /t REG_DWORD /d 104857600 /f
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Channels\Microsoft-Windows-AppLocker/Packaged app-Deployment" /v MaxSizeUpper /t REG_DWORD /d 0 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Channels\Microsoft-Windows-AppLocker/Packaged app-Execution" /v MaxSize /t REG_DWORD /d 104857600 /f
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Channels\Microsoft-Windows-AppLocker/Packaged app-Execution" /v MaxSizeUpper /t REG_DWORD /d 0 /f

Option 2) Übertragen der Registry Keys und Werte in eine Gruppenrichtline, um die AppLocker Event Log Größe anzupasse:

  • Neues Gruppenrichtlinien Objekt erstellen oder ein vorhandenes nutzen
  • Zu „Computer Configuration“ -> „Preferences“ -> „Registry“ wechseln

  • Mit der rechten Maustaste in den „Registry“ Bereich klicken und „New“ -> „Registry Item“ wählen sowie folgende Keys und Werte einfügen
    • Action: Update
    • Hive: HKEY_LOCAL_MACHINE
    • Key Path: SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Channels\Microsoft-Windows-AppLocker/EXE and DLL
    • Value Name: MaxSize
    • Value Type: REG_DWORD
    • Value Data: 104857600
    • Base: Decimal
    • Action: Update
    • Hive: HKEY_LOCAL_MACHINE
    • Key Path: SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Channels\Microsoft-Windows-AppLocker/EXE and DLL
    • Value Name: MaxSizeUpper
    • Value Type: REG_DWORD
    • Value Data: 0
    • Base: Decimal
  • Das ganze muss jetzt für die restlichen AppLocker Event Logs ebenfalls durchgeführt werden. Dabei muss jeweils nur der „Key Path“ ausgetauscht werden:
    • Key Path: SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Channels\Microsoft-Windows-AppLocker/MSI and Script
    • Key Path: SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Channels\Microsoft-Windows-AppLocker/Packaged app-Deployment
    • Key Path: SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Channels\Microsoft-Windows-AppLocker/Packaged app-Execution

Nach einem Reboot ist jetzt deutlich mehr Platz, um die sehr gesprächigen AppLocker Events auszuwerten. Viel Erfolg!

Die gesuchte Lösung noch nicht gefunden oder benötigen Sie Hilfe bei anderen Themen aus meinem Blog? Nehmen Sie gerne Kontakt mit mir bzw. meinem Unternehmen Jan Mischo IT auf. Ich freue mich auf Ihre Anfrage: https://janmischo.it/kontakt/


+49 2801 7004300

info@janmischo.it

Beitrag veröffentlicht

in

, , , ,

von

Jan Mischo

Schlagwörter:

, , , , ,

Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.