SYSTEM_AUDIT_ACE 结构 (winnt.h)
SYSTEM_AUDIT_ACE 结构为系统访问控制列表定义访问控制项 (ACE) , (SACL) 指定导致系统级通知的访问类型。 当指定的 受托人 尝试访问对象时,系统审核 ACE 会导致记录审核消息。 受托人由 安全标识符 (SID) 标识。
语法
typedef struct _SYSTEM_AUDIT_ACE {
ACE_HEADER Header;
ACCESS_MASK Mask;
DWORD SidStart;
} SYSTEM_AUDIT_ACE;
成员
Header
ACE_HEADER 结构,用于指定 ACE 的大小和类型。 它还包含控制子对象继承 ACE 的标志。 ACE_HEADER 结构的 AceType 成员应设置为 SYSTEM_AUDIT_ACE_TYPE,AceSize 成员应设置为为SYSTEM_AUDIT_ACE结构分配的字节总数。
Mask
指定一个 ACCESS_MASK 结构,该结构授予导致生成审核消息的访问权限。 ACE_HEADER 结构的 AceFlags 成员中的 SUCCESSFUL_ACCESS_ACE_FLAG和FAILED_ACCESS_ACE_FLAG 标志指示是否为成功的访问尝试和/或失败的访问尝试生成消息。
SidStart
受托人的 SID 的第一个 DWORD 。 SID 的剩余字节存储在 SidStart 成员之后的连续内存中。 此 SID 可以追加应用程序数据。
SID 与 SidStart 成员匹配的任何受托人对 Mask 成员指定的某种访问尝试会导致系统生成审核消息。 如果应用程序未为此成员指定 SID,则会为所有受托人生成指定访问权限的审核消息。
注解
审核消息存储在事件日志中,可以使用 Windows API 事件日志记录函数或使用事件查看器 (Eventvwr.exe) 操作。
ACE 结构应在 DWORD 边界上对齐。 所有 Windows 内存管理功能将 DWORD 对齐的句柄返回到内存。
创建 SYSTEM_AUDIT_ACE 结构时,必须分配足够的内存,以容纳 SidStart 成员中受托人的完整 SID 以及它后面的连续内存。
要求
| 最低受支持的客户端 | Windows XP [仅限桌面应用] |
| 最低受支持的服务器 | Windows Server 2003 [仅限桌面应用] |
| 标头 | winnt.h (包括 Windows.h) |