SYSTEM_AUDIT_ACE结构 (ntifs.h)

SYSTEM_AUDIT_ACE结构为系统访问控制列表(ACL)定义访问控制项(ACE),用于指定哪种类型的访问会导致系统级通知。 当指定用户或组尝试访问对象时,系统审核 ACE 会导致记录审核消息。 用户或组由安全标识符(SID)标识。

语法

typedef struct _SYSTEM_AUDIT_ACE {
  ACE_HEADER  Header;
  ACCESS_MASK Mask;
  ULONG       SidStart;
} SYSTEM_AUDIT_ACE;

成员

Header

指定ACE_HEADER结构。

Mask

指定一个ACCESS_MASK结构,该结构提供导致生成审核消息的访问权限。 ACE_HEADER结构的 AceFlags 成员中的SUCCESSFUL_ACCESS_ACE_FLAG和FAILED_ACCESS_ACE_FLAG标志指示是否为成功访问尝试、未成功访问尝试或同时生成两者的消息。

SidStart

指定 SID。 由 掩码 成员指定的访问尝试,其 SID 与 SidStart 成员匹配的任何用户或组会导致系统生成审核消息。 如果应用程序未为此成员指定 SID,将为所有用户和组的指定访问权限生成审核消息。

言论

审核消息存储在可以使用 Microsoft Win32 事件日志记录函数或使用事件查看器(EVENTVWR.EXE)作的事件日志中。

此结构必须在 32 位边界上对齐。

要求

要求 价值
标头 ntifs.h (include Ntifs.h)

另请参阅

ACCESS_ALLOWED_ACE

ACCESS_DENIED_ACE

ACCESS_MASK

ACE

ACE_HEADER

ACL

SID

SYSTEM_ALARM_ACE