перечисление POLICY_AUDIT_EVENT_TYPE (ntsecapi.h)

  • Статья

Перечисление POLICY_AUDIT_EVENT_TYPE определяет значения, указывающие типы событий, которые система может выполнять аудит. Функции LsaQueryInformationPolicy и LsaSetInformationPolicy используют это перечисление, если их параметры InformationClass имеют значение PolicyAuditEventsInformation.

Синтаксис

typedef enum _POLICY_AUDIT_EVENT_TYPE {
  AuditCategorySystem = 0,
  AuditCategoryLogon,
  AuditCategoryObjectAccess,
  AuditCategoryPrivilegeUse,
  AuditCategoryDetailedTracking,
  AuditCategoryPolicyChange,
  AuditCategoryAccountManagement,
  AuditCategoryDirectoryServiceAccess,
  AuditCategoryAccountLogon
} POLICY_AUDIT_EVENT_TYPE, *PPOLICY_AUDIT_EVENT_TYPE;

Константы

 
AuditCategorySystem
Значение: 0
Определяет, должна ли операционная система выполнять аудит любой из следующих попыток:


  • Попытка изменения системного времени.

  • Попытка запуска, перезапуска или завершения работы системы безопасности.

  • Попробуйте загрузить расширяемые функции проверки подлинности.

  • Потеря событий аудита из-за сбоя системы аудита.

  • Размер журнала безопасности, превышающий настраиваемый пороговый уровень предупреждения.
AuditCategoryLogon
Определяет, должна ли операционная система выполнять аудит каждый раз, когда этот компьютер проверяет учетные данные учетной записи. События входа в учетную запись создаются всякий раз, когда компьютер проверяет учетные данные одной из своих локальных учетных записей. Проверка учетных данных может поддерживать локальный вход или, в случае с учетной записью домена Active Directory на контроллере домена, может поддерживать вход на другой компьютер. События аудита для локальных учетных записей должны регистрироваться в локальном журнале безопасности компьютера. При выходе учетной записи не создается событие, которое может быть проверено.
AuditCategoryObjectAccess
Определяет, должна ли операционная система выполнять аудит каждого экземпляра пользователей, пытающихся получить доступ к объекту, отличному от Active Directory, например к файлу, для которого указан собственный список управления доступом системы (SACL). Тип запроса на доступ, например Запись, Чтение или Изменение, и учетная запись, которая выполняет запрос, должна соответствовать параметрам в SACL.
AuditCategoryPrivilegeUse
Определяет, должна ли операционная система выполнять аудит каждого экземпляра пользователей, пытающихся использовать привилегии.
AuditCategoryDetailedTracking
Определяет, должна ли операционная система выполнять аудит определенных событий, таких как активация программы, некоторые формы дублирования обработки, косвенный доступ к объекту и завершение процесса.
AuditCategoryPolicyChange
Определяет, должна ли операционная система выполнять аудит попыток изменения правил объекта политики , таких как политика назначения прав пользователя, политика аудита, политика учетной записи или политика доверия.
AuditCategoryAccountManagement
Определяет, должна ли операционная система выполнять аудит попыток создания, удаления или изменения учетных записей пользователей или групп. Кроме того, выполните аудит изменений паролей.
AuditCategoryDirectoryServiceAccess
Определяет, должна ли операционная система выполнять аудит попыток доступа к службе каталогов. Для объекта Active Directory указан собственный saCL. Тип запроса на доступ, например Запись, Чтение или Изменение, и учетная запись, которая выполняет запрос, должна соответствовать параметрам в SACL.
AuditCategoryAccountLogon
Определяет, должна ли операционная система выполнять аудит каждого экземпляра попытки пользователя войти в систему или выйти из системы. Также проверяет попытки входа привилегированных учетных записей, которые входят в контроллер домена. Эти события аудита создаются, когда центр распространения ключей Kerberos (KDC) входит в контроллер домена. Попытки выхода создаются всякий раз, когда сеанс входа учетной записи пользователя, выполнившего вход, завершается.

Комментарии

Перечисление POLICY_AUDIT_EVENT_TYPE может расширяться в будущих версиях Windows. Поэтому не следует вычислять количество значений в этом перечислении напрямую. Вместо этого следует получить количество значений, вызвав LsaQueryInformationPolicy с параметром InformationClass , равным PolicyAuditEventsInformation, и извлечь счетчик из элемента MaximumAuditEventCount возвращаемой структуры POLICY_AUDIT_EVENTS_INFO .

Требования

Требование Значение
Минимальная версия клиента Windows XP [только классические приложения]
Минимальная версия сервера Windows Server 2003 [только классические приложения]
Верхняя часть ntsecapi.h

См. также раздел

LsaQueryInformationPolicy

LsaSetInformationPolicy

POLICY_INFORMATION_CLASS