Создание записей аудита
Требования к безопасности уровня C2 указывают, что системные администраторы должны иметь возможность выполнять аудит событий, связанных с безопасностью, и доступ к этим данным аудита должен быть ограничен авторизованными администраторами. API Windows предоставляет функции, позволяющие администратору отслеживать события, связанные с безопасностью.
Дескриптор безопасности для защищаемого объекта может иметь системный список управления доступом (SACL). SaCL содержит записи управления доступом (ACE), которые указывают типы попыток доступа, которые создают отчеты об аудите. Каждый ACE определяет доверенного лица, набор прав доступа и набор флагов, указывающих, создает ли система сообщения аудита для неудачных попыток доступа, успешных попыток доступа или и того, и другого.
Система записывает сообщения аудита в журнал событий безопасности. Сведения о доступе к записям в журнале событий безопасности см. в разделе Ведение журнала событий.
Чтобы прочитать или записать saCL объекта, поток должен сначала включить привилегию SE_SECURITY_NAME. Дополнительные сведения см. в разделе Права доступа к SACL.
API Windows также обеспечивает поддержку серверных приложений для создания сообщений аудита, когда клиент пытается получить доступ к частному объекту. Дополнительные сведения см. в разделе Аудит доступа к частным объектам.