SYSTEM_AUDIT_ACE结构 (ntifs.h)
SYSTEM_AUDIT_ACE结构为系统访问控制列表(ACL)定义访问控制项(ACE),用于指定哪种类型的访问会导致系统级通知。 当指定用户或组尝试访问对象时,系统审核 ACE 会导致记录审核消息。 用户或组由安全标识符(SID)标识。
语法
typedef struct _SYSTEM_AUDIT_ACE {
ACE_HEADER Header;
ACCESS_MASK Mask;
ULONG SidStart;
} SYSTEM_AUDIT_ACE;
成员
Header
指定ACE_HEADER结构。
Mask
指定一个ACCESS_MASK结构,该结构提供导致生成审核消息的访问权限。 ACE_HEADER结构的 AceFlags 成员中的SUCCESSFUL_ACCESS_ACE_FLAG和FAILED_ACCESS_ACE_FLAG标志指示是否为成功访问尝试、未成功访问尝试或同时生成两者的消息。
SidStart
指定 SID。 由 掩码 成员指定的访问尝试,其 SID 与 SidStart 成员匹配的任何用户或组会导致系统生成审核消息。 如果应用程序未为此成员指定 SID,将为所有用户和组的指定访问权限生成审核消息。
言论
审核消息存储在可以使用 Microsoft Win32 事件日志记录函数或使用事件查看器(EVENTVWR.EXE)作的事件日志中。
此结构必须在 32 位边界上对齐。
要求
| 要求 | 价值 |
|---|---|
| 标头 | ntifs.h (include Ntifs.h) |