Sécurité de journalisation des événements
Le journal de sécurité est conçu pour être utilisé par le système. Toutefois, les utilisateurs peuvent lire et effacer le journal de sécurité s’ils ont reçu le privilège SE_SECURITY_NAME (le droit d’utilisateur « gérer l’audit et le journal de sécurité »). Pour plus d’informations, consultez Privilèges.
Seule l’autorité de sécurité locale (Lsass.exe) dispose de l’autorisation d’écriture pour le journal de sécurité . Aucun autre compte ne peut demander ce privilège. Pour écrire un événement dans le journal de sécurité , utilisez la fonction AuthzReportSecurityEvent .
L’accès au journal des applications, au journal système et aux journaux personnalisés est limité. Le système accorde l’accès en fonction des droits d’accès accordés au compte sous lequel le thread est en cours d’exécution. Le tableau suivant indique les types d’accès requis par les fonctions de journalisation des événements.
| Droit d’accès | Description |
|---|---|
| ELF_LOGFILE_CLEAR (0x0004) | Requis par ClearEventLog. |
| ELF_LOGFILE_READ (0x0001) | Requis par OpenBackupEventLog et OpenEventLog. |
| ELF_LOGFILE_WRITE (0x0002) | Requis par RegisterEventSource. |
Utilisez la valeur de Registre CustomSD pour configurer la sécurité du journal des applications, du journal système et des journaux personnalisés. Pour plus d’informations, consultez Eventlog Key.
Windows XP/2000 : Le tableau suivant décrit les droits d’accès accordés pour chaque compte sur chaque journal.
| Journal | Compte | Lire | Write | Effacer |
|---|---|---|---|---|
| Application | Administrateurs (système) | X | X | X |
| Administrateurs (domaine) | X | X | X | |
| LocalSystem | X | X | X | |
| Utilisateur interactif | X | X | ||
| Système | Administrateurs (système) | X | X | X |
| Administrateurs (domaine) | X | X | ||
| LocalSystem | X | X | X | |
| Utilisateur interactif | X | |||
| Personnalisée | Administrateurs (système) | X | X | X |
| Administrateurs (domaine) | X | X | X | |
| LocalSystem | X | X | X | |
| Utilisateur interactif | X | X |
Pour accorder l’accès aux membres du compte Invité, modifiez la valeur de Registre suivante :
HKEY_LOCAL_MACHINE\SYSTÈME\Currentcontrolset\Services\Eventlog\Rapport\RestrictGuestAccess