POLICY_AUDIT_EVENTS_INFO struttura (ntsecapi.h)

Articolo
08/25/2023

La struttura POLICY_AUDIT_EVENTS_INFO viene usata per impostare ed eseguire query sulle regole di controllo del sistema. Le funzioni LsaQueryInformationPolicy e LsaSetInformationPolicy usano questa struttura quando i parametri InformationClass sono impostati su PolicyAuditEventsInformation.

Sintassi

typedef struct _POLICY_AUDIT_EVENTS_INFO {
  BOOLEAN                     AuditingMode;
  PPOLICY_AUDIT_EVENT_OPTIONS EventAuditingOptions;
  ULONG                       MaximumAuditEventCount;
} POLICY_AUDIT_EVENTS_INFO, *PPOLICY_AUDIT_EVENTS_INFO;

Members

AuditingMode

Indica se il controllo è abilitato.

Se questo flag è TRUE, il sistema genera record di controllo in base alle opzioni di controllo degli eventi specificate nel membro EventAuditingOptions .

Se questo flag è FALSE, il sistema non genera record di controllo. Si noti tuttavia che il set di operazioni aggiorna le opzioni di controllo degli eventi come specificato nel membro EventAuditingOptions anche quando AuditingMode è FALSE.

EventAuditingOptions

Puntatore a una matrice di variabili POLICY_AUDIT_EVENT_OPTIONS. Ogni elemento in questa matrice specifica le opzioni di controllo per un tipo di evento di controllo. L'indice di ogni elemento matrice corrisponde a un valore del tipo di evento di controllo nel tipo di enumerazione POLICY_AUDIT_EVENT_TYPE .

Ogni variabile POLICY_AUDIT_EVENT_OPTIONS nella matrice può specificare le opzioni di controllo seguenti. È anche possibile combinare le opzioni di esito positivo e negativo, POLICY_AUDIT_EVENT_SUCCESS e POLICY_AUDIT_EVENT_FAILURE.

Quando LSASetInformationPolicy viene chiamato per modificare i criteri di controllo, tutti i nuovi elementi della matrice di POLICY_AUDIT_EVENT_OPTIONS vengono aggiunti a qualsiasi opzione di controllo esistente. L'aggiunta di un nuovo elemento POLICY_AUDIT_EVENT_OPTIONS combinato con l'opzione di controllo POLICY_AUDIT_EVENT_NONE annulla tutte le opzioni di controllo precedenti e inizia un nuovo set di opzioni.

Valore	Significato
POLICY_AUDIT_EVENT_UNCHANGED	Per le operazioni impostate, specificare questo valore per lasciare invariate le opzioni correnti. Per le operazioni di lettura, questo valore significa che non vengono generati record di controllo per questo tipo. Questo è il valore predefinito.
POLICY_AUDIT_EVENT_SUCCESS	Generare record di controllo per gli eventi riusciti di questo tipo.
POLICY_AUDIT_EVENT_FAILURE	Generare record di controllo per tentativi non riusciti per causare l'esecuzione di un evento di questo tipo.
POLICY_AUDIT_EVENT_NONE	Non generare record di controllo per gli eventi di questo tipo.

MaximumAuditEventCount

Specifica il numero di elementi nella matrice EventAuditingOptions . Per le operazioni impostate, se questo valore è minore del numero di tipi di eventi di controllo supportati dal sistema, il sistema non modifica le opzioni di controllo per i tipi di evento con indici uguali o superiori al valore specificato in MaximumAuditEventCount.

Commenti

I criteri LSA definiscono una maschera per le opzioni di controllo degli eventi valide. La maschera POLICY_AUDIT_EVENT_MASK restituisce TRUE se è impostata come uguale a una delle opzioni di controllo degli eventi precedenti.

Requisiti

Requisito	Valore
Client minimo supportato	Windows XP [solo app desktop]
Server minimo supportato	Windows Server 2003 [solo app desktop]
Intestazione	ntsecapi.h

Vedi anche

LsaQueryInformationPolicy

LsaSetInformationPolicy

POLICY_AUDIT_EVENT_TYPE

POLICY_INFORMATION_CLASS