SeOpenObjectAuditAlarm 関数 (ntifs.h)
SeOpenObjectAuditAlarm ルーチンは、オブジェクトを開こうとしたときに監査メッセージとアラーム メッセージを生成します。
構文
void SeOpenObjectAuditAlarm(
[in] PUNICODE_STRING ObjectTypeName,
[in, optional] PVOID Object,
[in, optional] PUNICODE_STRING AbsoluteObjectName,
[in] PSECURITY_DESCRIPTOR SecurityDescriptor,
[in] PACCESS_STATE AccessState,
[in] BOOLEAN ObjectCreated,
[in] BOOLEAN AccessGranted,
[in] KPROCESSOR_MODE AccessMode,
[out] PBOOLEAN GenerateOnClose
);
パラメーター
[in] ObjectTypeName
クライアントがアクセスを要求しているオブジェクトの種類を指定する null で終わる文字列へのポインター。 この文字列は、生成されるすべての監査メッセージに表示されます。
[in, optional] Object
開いているオブジェクトのアドレス。 この値は、ログ メッセージに入力する場合にのみ必要です。 オープン試行が失敗した場合、 Object の値は無視されます。 それ以外の場合は、指定する必要があります。
[in, optional] AbsoluteObjectName
開くオブジェクトの名前を指定する null で終わる文字列へのポインター。 この文字列は、生成されるすべての監査メッセージに表示されます。
[in] SecurityDescriptor
開いているオブジェクトのセキュリティ記述子構造体へのポインター。
[in] AccessState
オブジェクトのサブジェクト コンテキスト、残りの必要なアクセスの種類、付与されたアクセスの種類、および必要に応じて、アクセスを許可するために使用された特権を示す特権セットを含むアクセス状態構造体へのポインター。
[in] ObjectCreated
開いている操作によって新しいオブジェクトが作成される場合は TRUE 、既存のオブジェクトが開かれている場合は FALSE に設定します。
[in] AccessGranted
以前のアクセス チェックまたは特権チェックに基づいてオープン アクセスが付与された場合は TRUE、拒否された場合は FALSE に設定します。
[in] AccessMode
アクセス チェックに使用されるアクセス モード。 UserMode または KernelMode。
[out] GenerateOnClose
SeOpenObjectAuditAlarm が返されるときに監査生成ルーチンによって設定されるフラグへのポインター。
戻り値
なし
解説
SeOpenObjectAuditAlarm は、ユーザー モード アクセスに必要な監査またはアラーム メッセージを生成します。 カーネル モード アクセス用のメッセージは生成されません。
SeOpenObjectAuditAlarm を呼び出す前に、呼び出し元は SeLockSubjectContext を呼び出して、呼び出し元のプライマリ トークンと偽装トークンをロックする必要があります。 SeOpenObjectAuditAlarm を呼び出した後、呼び出し元は SeUnlockSubjectContext を呼び出してこれらのトークンを解放する必要があります。
セキュリティとアクセス制御の詳細については、 ドライバー開発者向けの Windows セキュリティ モデル と、Windows SDK のこれらのトピックに関するドキュメントを参照してください。
要件
| 要件 | 値 |
|---|---|
| 対象プラットフォーム | ユニバーサル |
| Header | ntifs.h (Ntifs.h を含む) |
| Library | NtosKrnl.lib |
| [DLL] | NtosKrnl.exe |
| IRQL | PASSIVE_LEVEL |
こちらもご覧ください
SeOpenObjectForDeleteAuditAlarm