POLICY_AUDIT_EVENT_TYPE enumeración (ntsecapi.h)
La enumeración POLICY_AUDIT_EVENT_TYPE define valores que indican los tipos de eventos que el sistema puede auditar. Las funciones LsaQueryInformationPolicy y LsaSetInformationPolicy usan esta enumeración cuando sus parámetros InformationClass se establecen en PolicyAuditEventsInformation.
Syntax
typedef enum _POLICY_AUDIT_EVENT_TYPE {
AuditCategorySystem = 0,
AuditCategoryLogon,
AuditCategoryObjectAccess,
AuditCategoryPrivilegeUse,
AuditCategoryDetailedTracking,
AuditCategoryPolicyChange,
AuditCategoryAccountManagement,
AuditCategoryDirectoryServiceAccess,
AuditCategoryAccountLogon
} POLICY_AUDIT_EVENT_TYPE, *PPOLICY_AUDIT_EVENT_TYPE;
Constantes
AuditCategorySystem Valor: 0 Determina si el sistema operativo debe auditar cualquiera de los siguientes intentos:
|
AuditCategoryLogon Determina si el sistema operativo debe auditar cada vez que este equipo valida las credenciales de una cuenta. Los eventos de inicio de sesión de la cuenta se generan cada vez que un equipo valida las credenciales de una de sus cuentas locales. La validación de credenciales puede ser compatible con un inicio de sesión local o, en el caso de una cuenta de dominio de Active Directory en un controlador de dominio, puede ser compatible con un inicio de sesión en otro equipo. Los eventos auditados de las cuentas locales deben iniciar sesión en el registro de seguridad local del equipo. El logotipo de la cuenta no genera un evento que se puede auditar. |
AuditCategoryObjectAccess Determina si el sistema operativo debe auditar cada instancia de usuario intenta acceder a un objeto que no es de Active Directory, como un archivo, que tiene especificada su propia lista de control de acceso del sistema (SACL). El tipo de solicitud de acceso, como Write, Read o Modify, y la cuenta que realiza la solicitud debe coincidir con la configuración de SACL. |
AuditCategoryPrivilegeUse Determina si el sistema operativo debe auditar cada instancia de usuario intenta usar privilegios. |
AuditCategoryDetailedTracking Determina si el sistema operativo debe auditar eventos específicos, como la activación del programa, algunas formas de controlar la duplicación, el acceso indirecto a un objeto y la salida del proceso. |
AuditCategoryPolicyChange Determina si el sistema operativo debe auditar los intentos de cambiar las reglas de objetos de directiva, como la directiva de asignación de derechos de usuario, la directiva de auditoría, la directiva de cuenta o la directiva de confianza. |
AuditCategoryAccountManagement Determina si el sistema operativo debe auditar los intentos de crear, eliminar o cambiar cuentas de usuario o grupo. Además, audite los cambios de contraseña. |
AuditCategoryDirectoryServiceAccess Determina si el sistema operativo debe auditar los intentos de acceder al servicio de directorio. El objeto de Active Directory tiene su propia SACL especificada. El tipo de solicitud de acceso, como Write, Read o Modify, y la cuenta que realiza la solicitud debe coincidir con la configuración de SACL. |
AuditCategoryAccountLogon Determina si el sistema operativo debe auditar cada instancia de un usuario que intente iniciar sesión o cerrar sesión en este equipo. También audita los intentos de inicio de sesión por cuentas con privilegios que inician sesión en el controlador de dominio. Estos eventos de auditoría se generan cuando el Centro de distribución de claves (KDC) kerberos inicia sesión en el controlador de dominio. Los intentos de cierre de sesión se generan cada vez que finaliza la sesión de inicio de sesión de una cuenta de usuario que ha iniciado sesión. |
Comentarios
La enumeración POLICY_AUDIT_EVENT_TYPE puede expandirse en versiones futuras de Windows. Por este motivo, no debe calcular directamente el número de valores de esta enumeración. En su lugar, debe obtener el recuento de valores llamando a LsaQueryInformationPolicy con el parámetro InformationClass establecido en PolicyAuditEventsInformation y extraer el recuento del miembro MaximumAuditEventCount de la estructura de POLICY_AUDIT_EVENTS_INFO devuelta.
Requisitos
Requisito | Value |
---|---|
Cliente mínimo compatible | Windows XP [solo aplicaciones de escritorio] |
Servidor mínimo compatible | Windows Server 2003 [solo aplicaciones de escritorio] |
Encabezado | ntsecapi.h |
Consulte también
Comentarios
https://aka.ms/ContentUserFeedback.
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea:Enviar y ver comentarios de