POLICY_AUDIT_EVENTS_INFO 结构 (ntsecapi.h)
POLICY_AUDIT_EVENTS_INFO 结构用于设置和查询系统的审核规则。 LsaQueryInformationPolicy 和 LsaSetInformationPolicy 函数在其 InformationClass 参数设置为 PolicyAuditEventsInformation 时使用此结构。
语法
typedef struct _POLICY_AUDIT_EVENTS_INFO {
BOOLEAN AuditingMode;
PPOLICY_AUDIT_EVENT_OPTIONS EventAuditingOptions;
ULONG MaximumAuditEventCount;
} POLICY_AUDIT_EVENTS_INFO, *PPOLICY_AUDIT_EVENTS_INFO;
成员
AuditingMode
指示是否启用审核。
如果此标志为 TRUE,则系统会根据 EventAuditingOptions 成员中指定的事件审核选项生成审核记录。
如果此标志为 FALSE,则系统不会生成审核记录。 但请注意,即使 AuditingMode 为 FALSE,设置操作也会更新 EventAuditingOptions 成员中指定的事件审核选项。
EventAuditingOptions
指向POLICY_AUDIT_EVENT_OPTIONS变量数组的指针。 此数组中的每个元素指定审核事件类型的审核选项。 每个数组元素的索引对应于 POLICY_AUDIT_EVENT_TYPE 枚举类型中的审核事件类型值。
数组中的每个POLICY_AUDIT_EVENT_OPTIONS变量都可以指定以下审核选项。 还可以组合成功和失败选项,POLICY_AUDIT_EVENT_SUCCESS和POLICY_AUDIT_EVENT_FAILURE。
调用 LSASetInformationPolicy 来更改审核策略时,任何新的POLICY_AUDIT_EVENT_OPTIONS数组元素都会添加到任何现有审核选项中。 将新的 POLICY_AUDIT_EVENT_OPTIONS 元素与 POLICY_AUDIT_EVENT_NONE 审核选项组合在一起,将取消所有以前的审核选项,并开始一组新的选项。
MaximumAuditEventCount
指定 EventAuditingOptions 数组中的元素数。 对于设置操作,如果此值小于系统支持的审核事件类型数,则系统不会更改索引等于或高于 MaximumAuditEventCount 中指定的值的事件类型的审核选项。
注解
LSA 策略为有效的事件审核选项定义掩码。 如果POLICY_AUDIT_EVENT_MASK掩码设置为等于上述任何事件审核选项,则其计算结果为 TRUE 。
要求
| 要求 | 值 |
|---|---|
| 最低受支持的客户端 | Windows XP [仅限桌面应用] |
| 最低受支持的服务器 | Windows Server 2003 [仅限桌面应用] |
| 标头 | ntsecapi.h |