イベント ログへのアクセス権
更新 : 2007 年 11 月
イベント ログへのアクセス権は、アプリケーションを実行しているアカウントによって決まります。LocalSystem アカウントは、サービス アプリケーションで使用する特別なアカウントです。Administrator アカウントは、システムの管理者で構成されます。ServerOp (サーバー オペレータ アカウント) は、ドメイン サーバーの管理者で構成されます。World アカウントには、すべてのシステムのすべてのユーザーが含まれます。
各ログでの読み込み、書き込み、および削除のアクセス権が与えられているアカウントは、次の表のとおりです。
ログ |
アカウント |
アクセス権 |
|---|---|---|
アプリケーション |
LocalSystem |
読み取り、書き込み、削除 |
Administrator |
読み取り、書き込み、削除 |
|
ServerOp |
読み取り、書き込み、削除 |
|
World |
読み取り、書き込み |
|
セキュリティ |
LocalSystem |
読み取り、書き込み、削除 |
Administrator |
読み取り、書き込み |
|
World |
なし |
|
システム |
LocalSystem |
読み取り、書き込み、削除 |
Administrator |
読み取り、書き込み、削除 |
|
ServerOp |
読み取り、削除 |
|
World |
読み取り |
また、ユーザーに次のいずれかの権限が与えられている場合は、セキュリティ ログの読み込みおよび消去を行うことができます。
監査およびセキュリティ ログを管理する権限。
SE_AUDIT_NAME 権限。詳細については、「承認定数」を参照してください。
詳細については、Windows のドキュメントを参照してください。
ASP.NET アプリケーションでイベント ログを使用している場合、イベント ログへのアクセスは別のアカウントである ASPNET アカウントを介して行います。ASPNET ユーザー アカウントの既定の設定では、イベント ログへのアクセスが制限されます。ASPNET ユーザー アカウントは、既存のログにエントリを追加することはできますが、新しいカテゴリを作成するアクセス許可はありません。ASPNET アカウントに偽装を使用して、新しいカテゴリを作成できます。偽装 ID は、カテゴリを作成するのに十分な権限を持っている必要があります。アプリケーションを配置する前にイベント ログを指定できるようにする必要がある場合、配置プロジェクトでイベント ログを作成できます。詳細については、「ASP.NET Web アプリケーションのセキュリティ」を参照してください。
イベント ログを作成する場合は、リソースが既に存在している可能性があることに注意してください。他の (おそらく不正な) プロセスが既に、自由にアクセスできるリソースを作成している可能性もあります。イベント ログにデータを配置すると、そのデータを他のプロセスから利用できるようになります。既存のイベント ログの詳細については、「方法 : 特定のイベント ログの有無を確認する」を参照してください。