SYSTEM_AUDIT_ACE structure (ntifs.h)

Article
02/26/2024

La structure SYSTEM_AUDIT_ACE définit une entrée de contrôle d’accès (ACE) pour la liste de contrôle d’accès (ACL) système, spécifiant les types d’accès qui provoquent des notifications au niveau du système. Un ace d’audit système entraîne la journaliser un message d’audit lorsqu’un utilisateur ou un groupe spécifié tente d’accéder à un objet. L’utilisateur ou le groupe est identifié par un identificateur de sécurité (SID).

Syntaxe

typedef struct _SYSTEM_AUDIT_ACE {
  ACE_HEADER  Header;
  ACCESS_MASK Mask;
  ULONG       SidStart;
} SYSTEM_AUDIT_ACE;

Membres

Header

Spécifie une structure ACE_HEADER.

Mask

Spécifie une structure de ACCESS_MASK qui donne les droits d’accès à l’origine de la génération de messages d’audit. Les indicateurs SUCCESSFUL_ACCESS_ACE_FLAG et FAILED_ACCESS_ACE_FLAG dans le membre AceFlags de la structure ACE_HEADER indiquent si les messages sont générés pour les tentatives d’accès réussies, les tentatives d’accès infructueuses ou les deux.

SidStart

Spécifie un SID. Une tentative d’accès d’un type spécifié par le membre Mask par tout utilisateur ou groupe dont le SID correspond au membre SidStart entraîne la génération d’un message d’audit par le système. Si une application ne spécifie pas de SID pour ce membre, des messages d’audit sont générés pour les droits d’accès spécifiés pour tous les utilisateurs et groupes.

Remarques

Les messages d’audit sont stockés dans un journal des événements qui peut être manipulé à l’aide des fonctions de journalisation des événements Microsoft Win32 ou à l’aide de la observateur d'événements (EVENTVWR.EXE).

Cette structure doit être alignée sur une limite 32 bits.