SeOpenObjectAuditAlarm 函式 (ntifs.h)
當嘗試開啟物件時 ,SeOpenObjectAuditAlarm 例程會產生稽核和警示訊息。
語法
void SeOpenObjectAuditAlarm(
[in] PUNICODE_STRING ObjectTypeName,
[in, optional] PVOID Object,
[in, optional] PUNICODE_STRING AbsoluteObjectName,
[in] PSECURITY_DESCRIPTOR SecurityDescriptor,
[in] PACCESS_STATE AccessState,
[in] BOOLEAN ObjectCreated,
[in] BOOLEAN AccessGranted,
[in] KPROCESSOR_MODE AccessMode,
[out] PBOOLEAN GenerateOnClose
);
參數
[in] ObjectTypeName
指定用戶端要求存取的物件類型之 Null 終止字串的指標。 此字串會出現在任何產生的稽核訊息中。
[in, optional] Object
正在開啟之物件的位址。 只有在記錄訊息中輸入時,才需要這個值。 如果開啟嘗試失敗,則會忽略 Object 的值。 否則,必須提供它。
[in, optional] AbsoluteObjectName
指定所開啟物件名稱之 Null 終止字串的指標。 此字串會出現在任何產生的稽核訊息中。
[in] SecurityDescriptor
要開啟之物件之安全性描述元結構的指標。
[in] AccessState
包含對象主體內容的存取狀態結構的指標、剩餘所需的存取類型、授與的存取類型,以及選擇性地指定用來允許存取的許可權集。
[in] ObjectCreated
如果開啟作業造成新物件建立,則設定為 TRUE ;如果開啟現有的物件,則為 FALSE 。
[in] AccessGranted
如果根據先前的存取權檢查或許可權檢查授與開啟存取權,則設定為 TRUE ,如果拒絕則設定 為 FALSE 。
[in] AccessMode
用於存取檢查的存取模式。 UserMode 或 KernelMode。
[out] GenerateOnClose
當 SeOpenObjectAuditAlarm 傳回時,稽核產生例程所設定的旗標指標。
傳回值
無
備註
SeOpenObjectAuditAlarm 會針對使用者模式存取產生任何必要的稽核或警示訊息。 不會針對核心模式存取產生任何訊息。
呼叫 SeOpenObjectAuditAlarm 之前,呼叫端必須呼叫 SeLockSubjectContext 來鎖定呼叫端的主要和模擬令牌。 呼叫 SeOpenObjectAuditAlarm 之後,呼叫端必須呼叫 SeUnlockSubjectContext 來釋放這些令牌。
如需安全性和訪問控制的詳細資訊,請參閱 適用於驅動程序開發人員的 Windows 安全性模型 ,以及 Windows SDK 中有關這些主題的檔。
規格需求
| 需求 | 值 |
|---|---|
| 目標平台 | Universal |
| 標頭 | ntifs.h (包含 Ntifs.h) |
| 程式庫 | NtosKrnl.lib |
| Dll | NtosKrnl.exe |
| IRQL | PASSIVE_LEVEL |
另請參閱
SeOpenObjectForDeleteAuditAlarm