事件日志记录安全性
安全 日志旨在供系统使用。 但是,如果用户被授予SE_SECURITY_NAME权限(“管理审核和安全日志”用户权限),则可以读取和清除 安全 日志。 有关详细信息,请参阅 特权。
只有本地安全机构(Lsass.exe)对 安全 日志具有写入权限。 其他任何帐户都无法请求此权限。 若要将事件写入 Security 日志,请使用 AuthzReportSecurityEvent 函数。
对 应用程序 日志、系统 日志和自定义日志的访问受到限制。 系统根据授予线程运行帐户的访问权限授予访问权限。 下表显示了事件日志记录函数需要哪些类型的访问。
| 访问权限 | 描述 |
|---|---|
| ELF_LOGFILE_CLEAR(0x0004) | ClearEventLog是必需的。 |
| ELF_LOGFILE_READ(0x0001) | OpenBackupEventLog 和 OpenEventLog是必需的。 |
| ELF_LOGFILE_WRITE(0x0002) | RegisterEventSource是必需的。 |
使用 CustomSD 注册表值配置 应用程序 日志、系统 日志和自定义日志的安全性。 有关详细信息,请参阅 Eventlog 密钥。
Windows XP/2000: 下表描述了在每个日志上为每个帐户授予的访问权限。
| 日志 | 帐户 | 读 | 写 | 清楚 |
|---|---|---|---|---|
| 应用程序 | 管理员(系统) | X | X | X |
| 管理员(域) | X | X | X | |
| LocalSystem | X | X | X | |
| 交互式用户 | X | X | ||
| 系统 | 管理员(系统) | X | X | X |
| 管理员(域) | X | X | ||
| LocalSystem | X | X | X | |
| 交互式用户 | X | |||
| 自定义 | 管理员(系统) | X | X | X |
| 管理员(域) | X | X | X | |
| LocalSystem | X | X | X | |
| 交互式用户 | X | X |
若要授予对来宾帐户成员的访问权限,请更改以下注册表值:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Log\RestrictGuestAccess