estrutura POLICY_AUDIT_EVENTS_INFO (ntsecapi.h)

  • Artigo

A estrutura POLICY_AUDIT_EVENTS_INFO é usada para definir e consultar as regras de auditoria do sistema. As funções LsaQueryInformationPolicy e LsaSetInformationPolicy usam essa estrutura quando seus parâmetros InformationClass são definidos como PolicyAuditEventsInformation.

Sintaxe

typedef struct _POLICY_AUDIT_EVENTS_INFO {
  BOOLEAN                     AuditingMode;
  PPOLICY_AUDIT_EVENT_OPTIONS EventAuditingOptions;
  ULONG                       MaximumAuditEventCount;
} POLICY_AUDIT_EVENTS_INFO, *PPOLICY_AUDIT_EVENTS_INFO;

Membros

AuditingMode

Indica se a auditoria está habilitada.

Se esse sinalizador for TRUE, o sistema gerará registros de auditoria de acordo com as opções de auditoria de eventos especificadas no membro EventAuditingOptions .

Se esse sinalizador for FALSE, o sistema não gerará registros de auditoria. No entanto, observe que as operações de conjunto atualizam as opções de auditoria de eventos conforme especificado no membro EventAuditingOptions mesmo quando AuditingMode é FALSE.

EventAuditingOptions

Ponteiro para uma matriz de variáveis POLICY_AUDIT_EVENT_OPTIONS. Cada elemento nessa matriz especifica as opções de auditoria para um tipo de evento de auditoria. O índice de cada elemento de matriz corresponde a um valor de tipo de evento de auditoria no tipo de enumeração POLICY_AUDIT_EVENT_TYPE .

Cada variável POLICY_AUDIT_EVENT_OPTIONS na matriz pode especificar as seguintes opções de auditoria. Você também pode combinar as opções de êxito e falha, POLICY_AUDIT_EVENT_SUCCESS e POLICY_AUDIT_EVENT_FAILURE.

Quando LSASetInformationPolicy é chamado para alterar a política de auditoria, todos os novos elementos de matriz POLICY_AUDIT_EVENT_OPTIONS são adicionados a quaisquer opções de auditoria existentes. Adicionar um novo elemento POLICY_AUDIT_EVENT_OPTIONS combinado com a opção de auditoria POLICY_AUDIT_EVENT_NONE cancela todas as opções de auditoria anteriores e inicia um novo conjunto de opções.

Valor Significado
POLICY_AUDIT_EVENT_UNCHANGED
 Para operações de conjunto, especifique esse valor para deixar as opções atuais inalteradas. Para operações de leitura, esse valor significa que nenhum registro de auditoria para esse tipo é gerado. Esse é o padrão.
POLICY_AUDIT_EVENT_SUCCESS
 Gere registros de auditoria para eventos bem-sucedidos desse tipo.
POLICY_AUDIT_EVENT_FAILURE
 Gere registros de auditoria para tentativas com falha para fazer com que um evento desse tipo ocorra.
POLICY_AUDIT_EVENT_NONE
 Não gere registros de auditoria para eventos desse tipo.

MaximumAuditEventCount

Especifica o número de elementos na matriz EventAuditingOptions . Para operações definidas, se esse valor for menor que o número de tipos de eventos de auditoria com suporte pelo sistema, o sistema não alterará as opções de auditoria para tipos de evento com índices iguais ou superiores ao valor especificado em MaximumAuditEventCount.

Comentários

A política LSA define uma máscara para as opções válidas de auditoria de eventos. A máscara de POLICY_AUDIT_EVENT_MASK será avaliada como TRUE se ela for definida como igual a qualquer uma das opções de auditoria de eventos anteriores.

Requisitos

Requisito Valor
Cliente mínimo com suporte Windows XP [somente aplicativos da área de trabalho]
Servidor mínimo com suporte Windows Server 2003 [somente aplicativos da área de trabalho]
Cabeçalho ntsecapi.h

Confira também

LsaQueryInformationPolicy

LsaSetInformationPolicy

POLICY_AUDIT_EVENT_TYPE

POLICY_INFORMATION_CLASS