SYSTEM_AUDIT_ACE 结构 (ntifs.h)
SYSTEM_AUDIT_ACE结构为系统访问控制列表 (ACE) 定义访问控制项, (ACL) 指定哪些类型的访问会导致系统级通知。 当指定的用户或组尝试获取对对象的访问权限时,系统审核 ACE 会导致记录审核消息。 用户或组由安全标识符 (SID) 标识。
语法
typedef struct _SYSTEM_AUDIT_ACE {
ACE_HEADER Header;
ACCESS_MASK Mask;
ULONG SidStart;
} SYSTEM_AUDIT_ACE;
成员
Header
指定ACE_HEADER结构。
Mask
指定一个ACCESS_MASK结构,该结构提供导致生成审核消息的访问权限。 ACE_HEADER 结构的 AceFlags 成员中的SUCCESSFUL_ACCESS_ACE_FLAG和FAILED_ACCESS_ACE_FLAG标志指示是否为成功的访问尝试和/或不成功的访问尝试生成消息。
SidStart
指定 SID。 SID 与 SidStart 成员匹配的任何用户或组所指定的掩码成员类型的访问尝试会导致系统生成审核消息。 如果应用程序未为此成员指定 SID,则会为所有用户和组的指定访问权限生成审核消息。
注解
审核消息存储在可以使用 Microsoft Win32 事件日志记录函数或使用事件查看器 (EVENTVWR.EXE) 操作的事件日志中。
此结构必须在 32 位边界上对齐。
要求
| 要求 | 值 |
|---|---|
| Header | ntifs.h (包括 Ntifs.h) |