SeOpenObjectAuditAlarm 関数 (ntifs.h)

[アーティクル]
02/27/2024

SeOpenObjectAuditAlarm ルーチンは、オブジェクトを開こうとしたときに監査メッセージとアラームメッセージを生成します。

構文

void SeOpenObjectAuditAlarm(
  [in]           PUNICODE_STRING      ObjectTypeName,
  [in, optional] PVOID                Object,
  [in, optional] PUNICODE_STRING      AbsoluteObjectName,
  [in]           PSECURITY_DESCRIPTOR SecurityDescriptor,
  [in]           PACCESS_STATE        AccessState,
  [in]           BOOLEAN              ObjectCreated,
  [in]           BOOLEAN              AccessGranted,
  [in]           KPROCESSOR_MODE      AccessMode,
  [out]          PBOOLEAN             GenerateOnClose
);

パラメーター

[in] ObjectTypeName

クライアントがアクセスを要求しているオブジェクトの種類を指定する null で終わる文字列へのポインター。この文字列は、生成されるすべての監査メッセージに表示されます。

[in, optional] Object

開いているオブジェクトのアドレス。この値は、ログメッセージに入力する場合にのみ必要です。オープン試行が失敗した場合、 Object の値は無視されます。それ以外の場合は、指定する必要があります。

[in, optional] AbsoluteObjectName

開くオブジェクトの名前を指定する null で終わる文字列へのポインター。この文字列は、生成されるすべての監査メッセージに表示されます。

[in] SecurityDescriptor

開いているオブジェクトのセキュリティ記述子構造体へのポインター。

[in] AccessState

オブジェクトのサブジェクトコンテキスト、残りの必要なアクセスの種類、付与されたアクセスの種類、および必要に応じて、アクセスを許可するために使用された特権を示す特権セットを含むアクセス状態構造体へのポインター。

[in] ObjectCreated

開いている操作によって新しいオブジェクトが作成される場合は TRUE 、既存のオブジェクトが開かれている場合は FALSE に設定します。

[in] AccessGranted

以前のアクセスチェックまたは特権チェックに基づいてオープンアクセスが付与された場合は TRUE、拒否された場合は FALSE に設定します。

[in] AccessMode

アクセスチェックに使用されるアクセスモード。 UserMode または KernelMode。

[out] GenerateOnClose

SeOpenObjectAuditAlarm が返されるときに監査生成ルーチンによって設定されるフラグへのポインター。

戻り値

なし

解説

SeOpenObjectAuditAlarm は、ユーザーモードアクセスに必要な監査またはアラームメッセージを生成します。カーネルモードアクセス用のメッセージは生成されません。

SeOpenObjectAuditAlarm を呼び出す前に、呼び出し元は SeLockSubjectContext を呼び出して、呼び出し元のプライマリトークンと偽装トークンをロックする必要があります。 SeOpenObjectAuditAlarm を呼び出した後、呼び出し元は SeUnlockSubjectContext を呼び出してこれらのトークンを解放する必要があります。

セキュリティとアクセス制御の詳細については、ドライバー開発者向けの Windows セキュリティモデルと、Windows SDK のこれらのトピックに関するドキュメントを参照してください。

要件

要件	値
対象プラットフォーム	ユニバーサル
Header	ntifs.h (Ntifs.h を含む)
Library	NtosKrnl.lib
[DLL]	NtosKrnl.exe
IRQL	PASSIVE_LEVEL