事件記錄安全性
安全性 記錄檔是專為系統使用而設計。 不過,如果使用者已獲得SE_SECURITY_NAME許可權,則可以讀取和清除 安全性 記錄檔(管理稽核和安全性記錄」用戶權力)。 如需詳細資訊,請參閱 權限。
只有本地安全域(Lsass.exe)具有 安全性 記錄的寫入許可權。 沒有其他帳戶可以要求此許可權。 若要將事件寫入至 Security 記錄檔,請使用 AuthzReportSecurityEvent 函式。
存取 應用程式 記錄、系統 記錄,以及限制自定義記錄。 系統會根據授與線程執行所在的帳戶訪問許可權來授與存取權。 下表顯示事件記錄函式所需的存取類型。
| 存取權 | 描述 |
|---|---|
| ELF_LOGFILE_CLEAR(0x0004) | ClearEventLog的必要專案。 |
| ELF_LOGFILE_READ (0x0001) | OpenBackupEventLog 和 OpenEventLog的必要專案。 |
| ELF_LOGFILE_WRITE(0x0002) | RegisterEventSource的必要專案。 |
使用 CustomSD 登錄值來設定 應用程式 記錄、系統 記錄檔和自定義記錄的安全性。 如需詳細資訊,請參閱 Eventlog Key。
Windows XP/2000: 下表說明每個記錄上針對每個帳戶授與的訪問許可權。
| 日誌 | 帳戶 | 讀 | 寫 | 清楚 |
|---|---|---|---|---|
| 應用程式 | 系統管理員(系統) | X | X | X |
| 系統管理員(網域) | X | X | X | |
| LocalSystem | X | X | X | |
| 互動式使用者 | X | X | ||
| 系統 | 系統管理員(系統) | X | X | X |
| 系統管理員(網域) | X | X | ||
| LocalSystem | X | X | X | |
| 互動式使用者 | X | |||
| 自定義 | 系統管理員(系統) | X | X | X |
| 系統管理員(網域) | X | X | X | |
| LocalSystem | X | X | X | |
| 互動式使用者 | X | X |
若要授與來賓帳戶成員的存取權,請變更下列登錄值:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Log\RestrictGuestAccess