Поделиться через

структура POLICY_AUDIT_EVENTS_INFO (ntsecapi.h)

  • Статья

Структура POLICY_AUDIT_EVENTS_INFO используется для задания и запроса правил аудита системы. Функции LsaQueryInformationPolicy и LsaSetInformationPolicy используют эту структуру, если их параметры InformationClass имеют значение PolicyAuditEventsInformation.

Синтаксис

typedef struct _POLICY_AUDIT_EVENTS_INFO {
  BOOLEAN                     AuditingMode;
  PPOLICY_AUDIT_EVENT_OPTIONS EventAuditingOptions;
  ULONG                       MaximumAuditEventCount;
} POLICY_AUDIT_EVENTS_INFO, *PPOLICY_AUDIT_EVENTS_INFO;

Члены

AuditingMode

Указывает, включен ли аудит.

Если этот флаг имеет значение TRUE, система создает записи аудита в соответствии с параметрами аудита событий, указанными в элементе EventAuditingOptions .

Если этот флаг имеет значение FALSE, система не создает записи аудита. Однако обратите внимание, что операции set обновляют параметры аудита событий, как указано в элементе EventAuditingOptions , даже если AuditingMode имеет значение FALSE.

EventAuditingOptions

Указатель на массив переменных POLICY_AUDIT_EVENT_OPTIONS. Каждый элемент в этом массиве задает параметры аудита для типа события аудита. Индекс каждого элемента массива соответствует значению типа события аудита в типе перечисления POLICY_AUDIT_EVENT_TYPE .

Каждая переменная POLICY_AUDIT_EVENT_OPTIONS в массиве может указывать следующие параметры аудита. Вы также можете сочетать параметры успешного и неудачного выполнения, POLICY_AUDIT_EVENT_SUCCESS и POLICY_AUDIT_EVENT_FAILURE.

При вызове LSASetInformationPolicy для изменения политики аудита все новые элементы массива POLICY_AUDIT_EVENT_OPTIONS добавляются во все существующие параметры аудита. Добавление нового элемента POLICY_AUDIT_EVENT_OPTIONS в сочетании с параметром аудита POLICY_AUDIT_EVENT_NONE отменяет все предыдущие параметры аудита и начинает новый набор параметров.

Значение Значение
POLICY_AUDIT_EVENT_UNCHANGED
 Для операций установки укажите это значение, чтобы оставить текущие параметры без изменений. Для операций чтения это значение означает, что записи аудита для этого типа не создаются. Это значение по умолчанию.
POLICY_AUDIT_EVENT_SUCCESS
 Создание записей аудита для успешных событий этого типа.
POLICY_AUDIT_EVENT_FAILURE
 Создайте записи аудита для неудачных попыток вызвать событие этого типа.
POLICY_AUDIT_EVENT_NONE
 Не создавайте записи аудита для событий этого типа.

MaximumAuditEventCount

Указывает количество элементов в массиве EventAuditingOptions . Если для операций set это значение меньше числа типов событий аудита, поддерживаемых системой, система не изменяет параметры аудита для типов событий с индексами, равными или превышающим значение, указанное в параметре MaximumAuditEventCount.

Комментарии

Политика LSA определяет маску для допустимых параметров аудита событий. Маска POLICY_AUDIT_EVENT_MASK принимает значение TRUE , если она равна любому из предыдущих параметров аудита событий.

Требования

Требование Значение
Минимальная версия клиента Windows XP [только классические приложения]
Минимальная версия сервера Windows Server 2003 [только классические приложения]
Верхняя часть ntsecapi.h

См. также раздел

LsaQueryInformationPolicy

LsaSetInformationPolicy

POLICY_AUDIT_EVENT_TYPE

POLICY_INFORMATION_CLASS