Partager via

CveEventWrite, fonction (securitybaseapi.h)

  • Article

Fonction de suivi pour la publication d’événements lorsqu’une tentative d’attaque de vulnérabilité de sécurité est détectée dans votre application en mode utilisateur.

Syntaxe

LONG CveEventWrite(
  [in]           PCWSTR CveId,
  [in, optional] PCWSTR AdditionalDetails
);

Paramètres

[in] CveId

Pointeur vers l’ID CVE associé à la vulnérabilité pour laquelle cet événement est déclenché.

[in, optional] AdditionalDetails

Pointeur vers une chaîne donnant des détails supplémentaires que le producteur d’événements peut souhaiter fournir au consommateur de cet événement.

Valeur retournée

Retourne ERROR_SUCCESS en cas de réussite ou l’une des valeurs suivantes en cas d’erreur.

Code de retour Description
ERROR_INVALID_PARAMETER
 Un ou plusieurs paramètres ne sont pas valides.
ERROR_ARITHMETIC_OVERFLOW
 La taille de l’événement est supérieure à la valeur maximale autorisée (64 000 en-têtes).
ERROR_MORE_DATA
 La taille de la mémoire tampon de session est trop petite pour l’événement.
ERROR_NOT_ENOUGH_MEMORY
 Se produit lorsque les mémoires tampons remplies tentent de vider sur le disque, mais que les E/S de disque ne se produisent pas assez rapidement. Cela se produit lorsque le disque est lent et que le trafic d’événements est lourd. Finalement, il n’y a plus de mémoires tampons libres (vides) et l’événement est supprimé.
STATUS_LOG_FILE_FULL
 Le fichier de lecture en temps réel est plein. Les événements ne sont pas consignés dans la session tant qu’un consommateur en temps réel n’utilise pas les événements du fichier de lecture. N’arrêtez pas la journalisation des événements basés sur ce code d’erreur.

Notes

La fonction CveEventWrite publie un événement basé sur CVE. Cette fonction doit être appelée uniquement dans les scénarios où une tentative d’exploitation d’une vulnérabilité connue et corrigée est détectée par l’application. Dans l’idéal, cet appel de fonction doit être ajouté dans le cadre du correctif (mise à jour) lui-même.

Le consommateur par défaut pour cet événement est EventLog-Application. Pour activer un autre consommateur, le fournisseur peut être ajouté à la session consommateur.

GUID du fournisseur : 85a62a0d-7e17-485f-9d4f-749a287193a6

Nom de la source : Microsoft-Windows-Audit-CVE ou Audit-CVE

Spécifications

   
Client minimal pris en charge Windows 10 [applications de bureau | Applications UWP]
Serveur minimal pris en charge Windows Server 2016 [applications de bureau | Applications UWP]
Plateforme cible Windows
En-tête securitybaseapi.h (inclure Windows.h)
Bibliothèque Advapi32.lib
DLL Advapi32.dll