事件日志记录安全性
安全日志设计为供系统使用。 但是,如果用户已被授予SE_SECURITY_NAME权限 (“管理审核和安全日志”用户权限) ,则可以读取和清除安全日志。 有关详细信息,请参阅 特权。
只有本地安全机构 (Lsass.exe) 对 安全 日志具有写入权限。 其他帐户无法请求此权限。 若要将事件写入 安全 日志,请使用 AuthzReportSecurityEvent 函数。
对 应用程序 日志、 系统 日志和自定义日志的访问受到限制。 系统根据授予运行线程的帐户的访问权限来授予访问权限。 下表显示了事件日志记录函数需要哪些类型的访问。
| 访问权限 | 说明 |
|---|---|
| ELF_LOGFILE_CLEAR (0x0004) | ClearEventLog 必需。 |
| ELF_LOGFILE_READ (0x0001) | OpenBackupEventLog 和 OpenEventLog 必需。 |
| ELF_LOGFILE_WRITE (0x0002) | RegisterEventSource 必需。 |
使用 CustomSD 注册表值配置 应用程序 日志、 系统 日志和自定义日志的安全性。 有关详细信息,请参阅 事件日志密钥。
Windows XP/2000: 下表描述了在每个日志上为每个帐户授予的访问权限。
| 日志 | 帐户 | 读取 | 写入 | 清除 |
|---|---|---|---|---|
| 应用程序 | 管理员 (系统) | X | x | x |
| 管理员 (域) | x | x | x | |
| LocalSystem | X | x | x | |
| 交互式用户 | x | x | ||
| 系统 | 管理员 (系统) | X | x | x |
| 管理员 (域) | x | x | ||
| LocalSystem | X | x | x | |
| 交互式用户 | x | |||
| 自定义 | 管理员 (系统) | x | x | x |
| 管理员 (域) | x | x | x | |
| LocalSystem | X | x | x | |
| 交互式用户 | x | x |
若要向来宾帐户的成员授予访问权限,请更改以下注册表值:
\ HKEY_LOCAL_MACHINE系统\CurrentControlSet\服务\EventLog\日志\RestrictGuestAccess