事件日志的安全性细节
更新:2007 年 11 月
对事件日志的访问权限是由应用程序运行所使用的帐户来决定的。“本地系统”帐户是服务应用程序可以使用的专用帐户。管理员帐户由系统的管理员组成。“服务器操作员”帐户 (ServerOp) 由域服务器的管理员组成。“全体”帐户包括所有系统上的所有用户。
下表说明了对各日志具有读取、写入和清除访问权限的帐户。
日志 |
帐户 |
访问权限 |
|---|---|---|
应用程序 |
本地系统 |
读取、写入、清除 |
管理员 |
读取、写入、清除 |
|
服务器操作员 |
读取、写入、清除 |
|
全局 |
读取、写入 |
|
安全性 |
本地系统 |
读取、写入、清除 |
管理员 |
读取、写入 |
|
全局 |
无 |
|
系统 |
本地系统 |
读取、写入、清除 |
管理员 |
读取、写入、清除 |
|
服务器操作员 |
读取、清除 |
|
全局 |
读取 |
另外,如果用户已获准具有下列权限之一,他们就可以读取和清除 Security 日志:
“管理审核和 Security 日志”用户权限。
SE_AUDIT_NAME 特权。有关更多信息,请参见授权常数。
有关更多信息,请参见 Windows 文档。
如果您使用的是 ASP.NET 应用程序中的事件日志,将通过另一个帐户(即 ASPNET 帐户)访问事件日志。ASPNET 用户帐户的默认设置限制对事件日志的访问。尽管 ASPNET 用户帐户可以向现有日志中添加条目,但该帐户没有创建新类别的权限。您可使用 ASPNET 帐户模拟,从而允许创建新类别。模拟身份必须具有足够的特权才能创建类别。如果应用程序需要可在部署之前指定的事件日志,那么它们可以由部署项目来创建。有关更多信息,请参见 ASP.NET Web 应用程序安全性。
在创建事件日志时,请注意资源可能已经存在。另一进程(可能是恶意进程)可能已创建了资源,并拥有对该资源的访问权。将数据放入事件日志后,其他进程就可使用这些数据了。有关现有事件日志的信息,请参见如何:确定特定事件日志是否存在。