estrutura SYSTEM_AUDIT_ACE (winnt.h)
A estrutura SYSTEM_AUDIT_ACE define uma ACE ( entrada de controle de acesso ) para a SACL (lista de controle de acesso do sistema ) que especifica quais tipos de acesso causam notificações no nível do sistema. Uma ACE de auditoria do sistema faz com que uma mensagem de auditoria seja registrada quando um administrador especificado tenta obter acesso a um objeto. O administrador é identificado por um SID ( identificador de segurança ).
Sintaxe
typedef struct _SYSTEM_AUDIT_ACE {
ACE_HEADER Header;
ACCESS_MASK Mask;
DWORD SidStart;
} SYSTEM_AUDIT_ACE;
Membros
Header
ACE_HEADER estrutura que especifica o tamanho e o tipo de ACE. Ele também contém sinalizadores que controlam a herança do ACE por objetos filho. O membro AceType da estrutura ACE_HEADER deve ser definido como SYSTEM_AUDIT_ACE_TYPE e o membro AceSize deve ser definido como o número total de bytes alocados para a estrutura SYSTEM_AUDIT_ACE .
Mask
Especifica uma estrutura ACCESS_MASK que fornece os direitos de acesso que fazem com que as mensagens de auditoria sejam geradas. Os sinalizadores SUCCESSFUL_ACCESS_ACE_FLAG e FAILED_ACCESS_ACE_FLAG no membro AceFlags da estrutura ACE_HEADER indicam se as mensagens são geradas para tentativas de acesso bem-sucedidas, tentativas de acesso malsucedidas ou ambas.
SidStart
O primeiro DWORD do SID de um administrador. Os bytes restantes do SID são armazenados na memória contígua após o membro SidStart . Esse SID pode ser acrescentado com os dados do aplicativo.
Uma tentativa de acesso de um tipo especificado pelo membro Mask por qualquer administrador cujo SID corresponde ao membro SidStart faz com que o sistema gere uma mensagem de auditoria. Se um aplicativo não especificar um SID para esse membro, as mensagens de auditoria serão geradas para os direitos de acesso especificados para todos os administradores.
Comentários
As mensagens de auditoria são armazenadas em um log de eventos que pode ser manipulado usando as funções de registro em log de eventos da API do Windows ou usando o Visualizador de Eventos (Eventvwr.exe).
As estruturas ACE devem ser alinhadas nos limites do DWORD . Todas as funções de gerenciamento de memória do Windows retornam identificadores alinhados a DWORD à memória.
Quando uma estrutura SYSTEM_AUDIT_ACE é criada, a memória suficiente deve ser alocada para acomodar o SID completo do administrador no membro SidStart e a memória contígua que a segue.
Requisitos
| Cliente mínimo com suporte | Windows XP [somente aplicativos da área de trabalho] |
| Servidor mínimo com suporte | Windows Server 2003 [somente aplicativos da área de trabalho] |
| Cabeçalho | winnt.h (inclua Windows.h) |
Confira também
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de