SeOpenObjectAuditAlarm 函数 (ntifs.h)
SeOpenObjectAuditAlarm 例程在尝试打开对象时生成审核和警报消息。
语法
void SeOpenObjectAuditAlarm(
[in] PUNICODE_STRING ObjectTypeName,
[in, optional] PVOID Object,
[in, optional] PUNICODE_STRING AbsoluteObjectName,
[in] PSECURITY_DESCRIPTOR SecurityDescriptor,
[in] PACCESS_STATE AccessState,
[in] BOOLEAN ObjectCreated,
[in] BOOLEAN AccessGranted,
[in] KPROCESSOR_MODE AccessMode,
[out] PBOOLEAN GenerateOnClose
);
参数
[in] ObjectTypeName
指向指定客户端请求访问的对象类型的 null 终止字符串的指针。 此字符串显示在生成的任何审核消息中。
[in, optional] Object
正在打开的对象地址。 仅需要此值才能输入日志消息。 如果打开尝试失败,将忽略 对象 的值。 否则,必须提供它。
[in, optional] AbsoluteObjectName
指向指定要打开的对象的名称的以 null 结尾的字符串的指针。 此字符串显示在生成的任何审核消息中。
[in] SecurityDescriptor
指向要打开的对象的安全描述符结构的指针。
[in] AccessState
指向包含对象的主题上下文、剩余所需访问类型、授予访问类型以及(可选)权限集的指针,用于指示哪些权限用于允许访问。
[in] ObjectCreated
如果打开作导致创建新对象,则设置为 TRUE;如果打开现有对象,则 FALSE。
[in] AccessGranted
如果根据以前的访问检查或特权检查授予了开放访问权限,或者如果拒绝了,则设置为 TRUE,或者 FALSE。
[in] AccessMode
用于访问检查的访问模式。 UserMode 或 KernelMode。
[out] GenerateOnClose
当 SeOpenObjectAuditAlarm 返回时,指向审核生成例程设置的标志的指针。
返回值
没有
言论
SeOpenObjectAuditAlarm 为用户模式访问生成任何必要的审核或警报消息。 不会为内核模式访问生成任何消息。
调用 SeOpenObjectAuditAlarm之前,调用方必须调用 SeLockSubjectContext 来锁定调用方的主要令牌和模拟令牌。 调用 SeOpenObjectAuditAlarm后,调用方必须调用 SeUnlockSubjectContext 才能释放这些令牌。
有关安全和访问控制的详细信息,请参阅适用于驱动程序开发人员 Windows 安全模型,以及有关 Windows SDK 中这些主题的文档。
要求
| 要求 | 价值 |
|---|---|
| 目标平台 | 普遍 |
| 标头 | ntifs.h (include Ntifs.h) |
| 库 | NtosKrnl.lib |
| DLL | NtosKrnl.exe |
| IRQL | PASSIVE_LEVEL |
另请参阅
SeOpenObjectForDeleteAuditAlarm