SYSTEM_AUDIT_ACE Struktur (ntifs.h)

2025-02-07

Die SYSTEM_AUDIT_ACE-Struktur definiert einen Zugriffssteuerungseintrag (Access Control Entry, ACE) für die Zugriffssteuerungsliste (Access Control List, ACL), der angibt, welche Zugriffstypen Benachrichtigungen auf Systemebene verursachen. Eine Systemüberwachungs-ACE bewirkt, dass eine Überwachungsmeldung protokolliert wird, wenn ein angegebener Benutzer oder eine bestimmte Gruppe versucht, Zugriff auf ein Objekt zu erhalten. Der Benutzer oder die Gruppe wird durch eine Sicherheits-ID (SID) identifiziert.

Syntax

typedef struct _SYSTEM_AUDIT_ACE {
  ACE_HEADER  Header;
  ACCESS_MASK Mask;
  ULONG       SidStart;
} SYSTEM_AUDIT_ACE;

Angehörige

Header

Gibt eine ACE_HEADER Struktur an.

Mask

Gibt eine ACCESS_MASK Struktur an, die den Zugriffsrechten zulässt, wodurch Überwachungsnachrichten generiert werden. Die Flags SUCCESSFUL_ACCESS_ACE_FLAG und FAILED_ACCESS_ACE_FLAG im AceFlags- Mitglied der ACE_HEADER Struktur geben an, ob Nachrichten für erfolgreiche Zugriffsversuche, erfolglose Zugriffsversuche oder beides generiert werden.

SidStart

Gibt eine SID an. Ein Zugriffsversuch einer Art, die vom Mask Mitglied eines benutzers oder einer Gruppe angegeben wird, deren SID mit dem SidStart Mitglied übereinstimmt, bewirkt, dass das System eine Überwachungsnachricht generiert. Wenn eine Anwendung keine SID für dieses Mitglied angibt, werden Überwachungsmeldungen für die angegebenen Zugriffsrechte für alle Benutzer und Gruppen generiert.

Bemerkungen

Überwachungsmeldungen werden in einem Ereignisprotokoll gespeichert, das mithilfe der Microsoft Win32-Ereignisprotokollierungsfunktionen oder mithilfe der Ereignisanzeige (EVENTVWR.EXE) bearbeitet werden kann.

Diese Struktur muss an einer 32-Bit-Grenze ausgerichtet werden.