Zabezpieczenia rejestrowania zdarzeń

Dziennik Security jest przeznaczony do użytku przez system. Jednak użytkownicy mogą odczytywać i czyścić dziennik zabezpieczeń, jeśli udzielono im uprawnień SE_SECURITY_NAME (prawa użytkownika "zarządzanie dziennikiem inspekcji i zabezpieczeń"). Aby uzyskać więcej informacji, zobacz Uprawnienia.

Tylko urząd zabezpieczeń lokalnych (Lsass.exe) ma uprawnienia do zapisu dla dziennika zabezpieczeń. Żadne inne konto nie może zażądać tego uprawnienia. Aby zapisać zdarzenie w dzienniku zabezpieczeń, użyj funkcji AuthzReportSecurityEvent.

Dostęp do dziennika aplikacji, dziennika System i dzienników niestandardowych jest ograniczony. System udziela dostępu na podstawie praw dostępu przyznanych do konta, na którym działa wątek. W poniższej tabeli przedstawiono typy dostępu wymagane przez funkcje rejestrowania zdarzeń.

Prawo dostępu	Opis
ELF_LOGFILE_CLEAR (0x0004)	Wymagane przez clearEventLog.
ELF_LOGFILE_READ (0x0001)	Wymagane przez OpenBackupEventLog i OpenEventLog.
ELF_LOGFILE_WRITE (0x0002)	Wymagane przez RegisterEventSource.

 

Użyj wartości rejestru CustomSD, aby skonfigurować zabezpieczenia dziennika aplikacji, dziennika System i dzienników niestandardowych. Aby uzyskać więcej informacji, zobacz Eventlog Key.

Windows XP/2000: W poniższej tabeli opisano prawa dostępu przyznane dla każdego konta w każdym dzienniku.

Dziennik	Rachunek	Czytać	Pisać	Jasny
aplikacji	Administratorzy (system)	X	X	X
	Administratorzy (domena)	X	X	X
	LocalSystem	X	X	X
	Interakcyjny użytkownik	X	X
System	Administratorzy (system)	X	X	X
	Administratorzy (domena)	X		X
	LocalSystem	X	X	X
	Interakcyjny użytkownik	X
niestandardowe	Administratorzy (system)	X	X	X
	Administratorzy (domena)	X	X	X
	LocalSystem	X	X	X
	Interakcyjny użytkownik	X	X

 

Aby udzielić dostępu członkom konta gościa, zmień następującą wartość rejestru:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Log\RestrictGuestAccess