перечисление POLICY_AUDIT_EVENT_TYPE (ntsecapi.h)
Перечисление POLICY_AUDIT_EVENT_TYPE определяет значения, указывающие типы событий, которые система может выполнять аудит. Функции LsaQueryInformationPolicy и LsaSetInformationPolicy используют это перечисление, если их параметры InformationClass имеют значение PolicyAuditEventsInformation.
Синтаксис
typedef enum _POLICY_AUDIT_EVENT_TYPE {
AuditCategorySystem = 0,
AuditCategoryLogon,
AuditCategoryObjectAccess,
AuditCategoryPrivilegeUse,
AuditCategoryDetailedTracking,
AuditCategoryPolicyChange,
AuditCategoryAccountManagement,
AuditCategoryDirectoryServiceAccess,
AuditCategoryAccountLogon
} POLICY_AUDIT_EVENT_TYPE, *PPOLICY_AUDIT_EVENT_TYPE;
Константы
AuditCategorySystem Значение: 0 Определяет, должна ли операционная система выполнять аудит любой из следующих попыток:
|
AuditCategoryLogon Определяет, должна ли операционная система выполнять аудит каждый раз, когда этот компьютер проверяет учетные данные учетной записи. События входа в учетную запись создаются всякий раз, когда компьютер проверяет учетные данные одной из своих локальных учетных записей. Проверка учетных данных может поддерживать локальный вход или, в случае с учетной записью домена Active Directory на контроллере домена, может поддерживать вход на другой компьютер. События аудита для локальных учетных записей должны регистрироваться в локальном журнале безопасности компьютера. При выходе учетной записи не создается событие, которое может быть проверено. |
AuditCategoryObjectAccess Определяет, должна ли операционная система выполнять аудит каждого экземпляра пользователей, пытающихся получить доступ к объекту, отличному от Active Directory, например к файлу, для которого указан собственный список управления доступом системы (SACL). Тип запроса на доступ, например Запись, Чтение или Изменение, и учетная запись, которая выполняет запрос, должна соответствовать параметрам в SACL. |
AuditCategoryPrivilegeUse Определяет, должна ли операционная система выполнять аудит каждого экземпляра пользователей, пытающихся использовать привилегии. |
AuditCategoryDetailedTracking Определяет, должна ли операционная система выполнять аудит определенных событий, таких как активация программы, некоторые формы дублирования обработки, косвенный доступ к объекту и завершение процесса. |
AuditCategoryPolicyChange Определяет, должна ли операционная система выполнять аудит попыток изменения правил объекта политики , таких как политика назначения прав пользователя, политика аудита, политика учетной записи или политика доверия. |
AuditCategoryAccountManagement Определяет, должна ли операционная система выполнять аудит попыток создания, удаления или изменения учетных записей пользователей или групп. Кроме того, выполните аудит изменений паролей. |
AuditCategoryDirectoryServiceAccess Определяет, должна ли операционная система выполнять аудит попыток доступа к службе каталогов. Для объекта Active Directory указан собственный saCL. Тип запроса на доступ, например Запись, Чтение или Изменение, и учетная запись, которая выполняет запрос, должна соответствовать параметрам в SACL. |
AuditCategoryAccountLogon Определяет, должна ли операционная система выполнять аудит каждого экземпляра попытки пользователя войти в систему или выйти из системы. Также проверяет попытки входа привилегированных учетных записей, которые входят в контроллер домена. Эти события аудита создаются, когда центр распространения ключей Kerberos (KDC) входит в контроллер домена. Попытки выхода создаются всякий раз, когда сеанс входа учетной записи пользователя, выполнившего вход, завершается. |
Комментарии
Перечисление POLICY_AUDIT_EVENT_TYPE может расширяться в будущих версиях Windows. Поэтому не следует вычислять количество значений в этом перечислении напрямую. Вместо этого следует получить количество значений, вызвав LsaQueryInformationPolicy с параметром InformationClass , равным PolicyAuditEventsInformation, и извлечь счетчик из элемента MaximumAuditEventCount возвращаемой структуры POLICY_AUDIT_EVENTS_INFO .
Требования
Требование | Значение |
---|---|
Минимальная версия клиента | Windows XP [только классические приложения] |
Минимальная версия сервера | Windows Server 2003 [только классические приложения] |
Верхняя часть | ntsecapi.h |
См. также раздел
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по