SYSTEM_AUDIT_ACE-Struktur (ntifs.h)

Artikel
02/26/2024

Die SYSTEM_AUDIT_ACE-Struktur definiert einen Zugriffssteuerungseintrag (Access Control Entry, ACE) für die Systemzugriffssteuerungsliste (ACL), die angibt, welche Zugriffstypen Benachrichtigungen auf Systemebene verursachen. Eine Systemüberwachungs-ACE bewirkt, dass eine Überwachungsmeldung protokolliert wird, wenn ein bestimmter Benutzer oder eine bestimmte Gruppe versucht, Zugriff auf ein Objekt zu erhalten. Der Benutzer oder die Gruppe wird durch eine Sicherheits-ID (SID) identifiziert.

Syntax

typedef struct _SYSTEM_AUDIT_ACE {
  ACE_HEADER  Header;
  ACCESS_MASK Mask;
  ULONG       SidStart;
} SYSTEM_AUDIT_ACE;

Member

Header

Gibt eine ACE_HEADER-Struktur an.

Mask

Gibt eine ACCESS_MASK-Struktur an, die die Zugriffsrechte zur Generierung von Überwachungsmeldungen erteilt. Die SUCCESSFUL_ACCESS_ACE_FLAG- und FAILED_ACCESS_ACE_FLAG-Flags im AceFlags-Member der ACE_HEADER-Struktur geben an, ob Nachrichten für erfolgreiche Zugriffsversuche, fehlgeschlagene Zugriffsversuche oder beides generiert werden.

SidStart

Gibt eine SID an. Ein Zugriffsversuch einer Art, die durch das Mask-Mitglied von einem beliebigen Benutzer oder einer Beliebigen Gruppe angegeben wird, deren SID mit dem SidStart-Member übereinstimmt, bewirkt, dass das System eine Überwachungsmeldung generiert. Wenn eine Anwendung keine SID für diesen Member angibt, werden Überwachungsmeldungen für die angegebenen Zugriffsrechte für alle Benutzer und Gruppen generiert.

Hinweise

Überwachungsmeldungen werden in einem Ereignisprotokoll gespeichert, das mithilfe der Microsoft Win32-Ereignisprotokollierungsfunktionen oder mithilfe der Ereignisanzeige (EVENTVWR.EXE) bearbeitet werden kann.

Diese Struktur muss an einer 32-Bit-Grenze ausgerichtet werden.