POLICY_AUDIT_EVENTS_INFO 结构 (ntsecapi.h)

项目
08/25/2023

POLICY_AUDIT_EVENTS_INFO 结构用于设置和查询系统的审核规则。 LsaQueryInformationPolicy 和 LsaSetInformationPolicy 函数在其 InformationClass 参数设置为 PolicyAuditEventsInformation 时使用此结构。

语法

typedef struct _POLICY_AUDIT_EVENTS_INFO {
  BOOLEAN                     AuditingMode;
  PPOLICY_AUDIT_EVENT_OPTIONS EventAuditingOptions;
  ULONG                       MaximumAuditEventCount;
} POLICY_AUDIT_EVENTS_INFO, *PPOLICY_AUDIT_EVENTS_INFO;

成员

AuditingMode

指示是否启用审核。

如果此标志为 TRUE，则系统会根据 EventAuditingOptions 成员中指定的事件审核选项生成审核记录。

如果此标志为 FALSE，则系统不会生成审核记录。但请注意，即使 AuditingMode 为 FALSE，设置操作也会更新 EventAuditingOptions 成员中指定的事件审核选项。

EventAuditingOptions

指向POLICY_AUDIT_EVENT_OPTIONS变量数组的指针。此数组中的每个元素指定审核事件类型的审核选项。每个数组元素的索引对应于 POLICY_AUDIT_EVENT_TYPE 枚举类型中的审核事件类型值。

数组中的每个POLICY_AUDIT_EVENT_OPTIONS变量都可以指定以下审核选项。还可以组合成功和失败选项，POLICY_AUDIT_EVENT_SUCCESS和POLICY_AUDIT_EVENT_FAILURE。

调用 LSASetInformationPolicy 来更改审核策略时，任何新的POLICY_AUDIT_EVENT_OPTIONS数组元素都会添加到任何现有审核选项中。将新的 POLICY_AUDIT_EVENT_OPTIONS 元素与 POLICY_AUDIT_EVENT_NONE 审核选项组合在一起，将取消所有以前的审核选项，并开始一组新的选项。

值	含义
POLICY_AUDIT_EVENT_UNCHANGED	对于设置操作，请指定此值以保持当前选项不变。对于读取操作，此值表示不会生成此类型的审核记录。这是默认值。
POLICY_AUDIT_EVENT_SUCCESS	为此类型的成功事件生成审核记录。
POLICY_AUDIT_EVENT_FAILURE	生成导致发生此类型事件的失败尝试的审核记录。
POLICY_AUDIT_EVENT_NONE	不要为此类型的事件生成审核记录。