POLICY_AUDIT_EVENT_TYPE 枚举 (ntsecapi.h)
POLICY_AUDIT_EVENT_TYPE枚举定义指示系统可以审核的事件类型的值。 LsaQueryInformationPolicy 和 LsaSetInformationPolicy 函数在其 InformationClass 参数设置为 PolicyAuditEventsInformation 时使用此枚举。
语法
typedef enum _POLICY_AUDIT_EVENT_TYPE {
AuditCategorySystem = 0,
AuditCategoryLogon,
AuditCategoryObjectAccess,
AuditCategoryPrivilegeUse,
AuditCategoryDetailedTracking,
AuditCategoryPolicyChange,
AuditCategoryAccountManagement,
AuditCategoryDirectoryServiceAccess,
AuditCategoryAccountLogon
} POLICY_AUDIT_EVENT_TYPE, *PPOLICY_AUDIT_EVENT_TYPE;
常量
AuditCategorySystem 值: 0 确定操作系统是否必须审核以下任何尝试:
|
AuditCategoryLogon 确定每次此计算机验证帐户凭据时操作系统是否必须进行审核。 每当计算机验证其本地帐户之一的凭据时,都会生成帐户登录事件。 凭据验证可以支持本地登录,或者,对于域控制器上的 Active Directory 域帐户,可以支持登录到另一台计算机。 本地帐户的审核事件必须记录在计算机的本地安全日志中。 帐户注销不会生成可审核的事件。 |
AuditCategoryObjectAccess 确定操作系统是否必须审核用户尝试访问非 Active Directory 对象(例如文件)的每个实例,该对象具有自己的系统访问控制列表 (SACL) 指定。 访问请求的类型(如写入、读取或修改)和发出请求的帐户必须与 SACL 中的设置匹配。 |
AuditCategoryPrivilegeUse 确定操作系统是否必须审核用户尝试使用 特权的每个实例。 |
AuditCategoryDetailedTracking 确定操作系统是否必须审核特定事件,例如程序激活、某些形式的句柄重复、对对象的间接访问和进程退出。 |
AuditCategoryPolicyChange 确定操作系统是否必须审核更改 策略 对象规则的尝试,例如用户权限分配策略、审核策略、帐户策略或信任策略。 |
AuditCategoryAccountManagement 确定操作系统是否必须审核创建、删除或更改用户或组帐户的尝试。 此外,请审核密码更改。 |
AuditCategoryDirectoryServiceAccess 确定操作系统是否必须审核访问目录服务的尝试。 Active Directory 对象已指定其自己的 SACL。 访问请求的类型(如写入、读取或修改)和发出请求的帐户必须与 SACL 中的设置匹配。 |
AuditCategoryAccountLogon 确定操作系统是否必须审核用户尝试登录或注销此计算机的每个实例。 此外,还会审核登录域控制器的特权帐户的登录尝试。 当 Kerberos 密钥分发中心 (KDC) 登录到域控制器时,将生成这些审核事件。 每当已登录用户帐户的登录会话终止时,都会生成注销尝试。 |
注解
POLICY_AUDIT_EVENT_TYPE枚举可能会在 Windows 的未来版本中扩展。 因此,不应直接计算此枚举中的值数。 相反,应通过调用 LsaQueryInformationPolicy 来获取值的计数,并将 InformationClass 参数设置为 PolicyAuditEventsInformation,并从返回的 POLICY_AUDIT_EVENTS_INFO 结构的 MaximumAuditEventCount 成员中提取计数。
要求
要求 | 值 |
---|---|
最低受支持的客户端 | Windows XP [仅限桌面应用] |
最低受支持的服务器 | Windows Server 2003 [仅限桌面应用] |
标头 | ntsecapi.h |
另请参阅
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈