Freigeben über

EventAccessControl-Funktion (evntcons.h)

  • Artikel

Fügt die Berechtigungen des angegebenen Anbieters oder der angegebenen Sitzung hinzu oder ändert diese.

Syntax

ULONG EVNTAPI EventAccessControl(
  [in] LPGUID  Guid,
  [in] ULONG   Operation,
  [in] PSID    Sid,
  [in] ULONG   Rights,
  [in] BOOLEAN AllowOrDeny
);

Parameter

[in] Guid

GUID, die den Anbieter oder die Sitzung eindeutig identifiziert, dessen Berechtigungen Sie hinzufügen oder ändern möchten.

[in] Operation

Art des auszuführenden Vorgangs, z. B. Hinzufügen einer DACL zur GUID der Sitzung oder der GUID des Anbieters. Mögliche Werte finden Sie in der ENUMERATION EVENTSECURITYOPERATION .

[in] Sid

Die Sicherheits-ID (SID) des Benutzers oder der Gruppe, der Sie Berechtigungen erteilen oder verweigern möchten.

[in] Rights

Sie können mindestens eine der folgenden Berechtigungen angeben:

Wert Bedeutung
WMIGUID_QUERY
 Ermöglicht dem Benutzer, Informationen zur Ablaufverfolgungssitzung abzufragen. Legen Sie diese Berechtigung für die GUID der Sitzung fest.
TRACELOG_CREATE_REALTIME
 Ermöglicht dem Benutzer das Starten oder Aktualisieren einer Echtzeitsitzung. Legen Sie diese Berechtigung für die GUID der Sitzung fest.
TRACELOG_CREATE_ONDISK
 Ermöglicht dem Benutzer das Starten oder Aktualisieren einer Sitzung, die Ereignisse in eine Protokolldatei schreibt. Legen Sie diese Berechtigung für die GUID der Sitzung fest.
TRACELOG_GUID_ENABLE
 Ermöglicht dem Benutzer, den Anbieter zu aktivieren. Legen Sie diese Berechtigung für die GUID des Anbieters fest.
TRACELOG_ACCESS_KERNEL_LOGGER
 Wird nicht verwendet.
TRACELOG_LOG_EVENT
 Ermöglicht dem Benutzer das Protokollieren von Ereignissen in einer Ablaufverfolgungssitzung, wenn die Sitzung im SECURE-Modus ausgeführt wird (die Sitzung legt das Flag EVENT_TRACE_SECURE_MODE im LogFileMode-Member von EVENT_TRACE_PROPERTIES fest).
TRACELOG_ACCESS_REALTIME
 Ermöglicht es einem Benutzer, Ereignisse in Echtzeit zu nutzen. Legen Sie diese Berechtigung für die GUID der Sitzung fest.
TRACELOG_REGISTER_GUIDS
 Ermöglicht dem Benutzer, den Anbieter zu registrieren. Legen Sie diese Berechtigung für die GUID des Anbieters fest.

[in] AllowOrDeny

Wenn TRUE, erteilen Sie dem Benutzer Berechtigungen für die Sitzung oder den Anbieter. Andernfalls verweigern Sie Berechtigungen. Dieser Wert wird ignoriert, wenn der Wert von Operation EventSecuritySetSACL oder EventSecurityAddSACL lautet.

Rückgabewert

Gibt bei erfolgreicher Ausführung ERROR_SUCCESS zurück.

Hinweise

Standardmäßig kann nur der Administrator des Computers, Benutzer in der Gruppe Leistungsprotokollbenutzer und Dienste, die als LocalSystem, LocalService, NetworkService ausgeführt werden, Ablaufverfolgungssitzungen steuern und Ereignisdaten bereitstellen und nutzen. Nur Benutzer mit Administratorrechten und Diensten, die als LocalSystem ausgeführt werden, können eine NT-Kernelprotokollierungssitzung starten und steuern.

Windows Server 2003: Nur Benutzer mit Administratorrechten können Ablaufverfolgungssitzungen steuern und Ereignisdaten nutzen. Jeder Benutzer kann Ereignisdaten bereitstellen.

Windows XP und Windows 2000: Jeder Benutzer kann Ablaufverfolgungssitzungen steuern und Ereignisdaten bereitstellen und nutzen.

Benutzer mit Administratorrechten können Ablaufverfolgungssitzungen steuern, wenn das Tool, das sie zum Steuern der Sitzung verwenden, über ein Eingabeaufforderungsfenster gestartet wird, das mit Als Administrator ausführen... geöffnet wird.

Um einem eingeschränkten Benutzer die Möglichkeit zu geben, Ablaufverfolgungssitzungen zu steuern, können Sie sie der Gruppe Leistungsprotokollbenutzer hinzufügen oder diese Funktion aufrufen, um ihm die Berechtigung zu erteilen. Beispielsweise können Sie Dem Benutzer A die Berechtigung zum Starten und Beenden einer Ablaufverfolgungssitzung erteilen und Dem Benutzer B die Berechtigung erteilen, nur die Sitzung abzufragen.

Informationen zum Einschränken, wer Ereignisse auf die Sitzung protokollieren kann, finden Sie unter TRACELOG_LOG_EVENT Berechtigung.

Die ACL in der Protokolldatei bestimmt, wer Ereignisdaten aus der Protokolldatei nutzen kann. Um Ereignisse aus einer Sitzung in Echtzeit zu nutzen, müssen Sie dem Benutzer TRACELOG_ACCESS_REALTIME Berechtigung erteilen, oder der Benutzer muss Mitglied der Gruppe Leistungsprotokollbenutzer sein.

Sie können auch die GUID des Anbieters angeben, um einzuschränken, wer den Anbieter registrieren kann und wer den Anbieter aktivieren kann.

Anforderungen

   
Unterstützte Mindestversion (Client) Windows Vista [nur Desktop-Apps]
Unterstützte Mindestversion (Server) Windows Server 2008 [nur Desktop-Apps]
Zielplattform Windows
Kopfzeile evntcons.h
Bibliothek Sechost.lib unter Windows 8.1 und Windows Server 2012; Sechost.lib unter Windows 8.1 und Windows Server 2012 R2; Advapi32.lib unter Windows 8, Windows Server 2012, Windows 7, Windows Server 2008 R2, Windows Server 2008 und Windows Vista
DLL Sechost.dll unter Windows 8.1 und Windows Server 2012; Advapi32.dll unter Windows 8, Windows Server 2012, Windows 7, Windows Server 2008 R2, Windows Server 2008 und Windows Vista

Weitere Informationen

EventAccessQuery

EventAccessRemove