SeOpenObjectAuditAlarm 函式 (ntifs.h)

發行項
02/29/2024

當嘗試開啟物件時 ，SeOpenObjectAuditAlarm 例程會產生稽核和警示訊息。

語法

void SeOpenObjectAuditAlarm(
  [in]           PUNICODE_STRING      ObjectTypeName,
  [in, optional] PVOID                Object,
  [in, optional] PUNICODE_STRING      AbsoluteObjectName,
  [in]           PSECURITY_DESCRIPTOR SecurityDescriptor,
  [in]           PACCESS_STATE        AccessState,
  [in]           BOOLEAN              ObjectCreated,
  [in]           BOOLEAN              AccessGranted,
  [in]           KPROCESSOR_MODE      AccessMode,
  [out]          PBOOLEAN             GenerateOnClose
);

參數

[in] ObjectTypeName

指定用戶端要求存取的物件類型之 Null 終止字串的指標。此字串會出現在任何產生的稽核訊息中。

[in, optional] Object

正在開啟之物件的位址。只有在記錄訊息中輸入時，才需要這個值。如果開啟嘗試失敗，則會忽略 Object 的值。否則，必須提供它。

[in, optional] AbsoluteObjectName

指定所開啟物件名稱之 Null 終止字串的指標。此字串會出現在任何產生的稽核訊息中。

[in] SecurityDescriptor

要開啟之物件之安全性描述元結構的指標。

[in] AccessState

包含對象主體內容的存取狀態結構的指標、剩餘所需的存取類型、授與的存取類型，以及選擇性地指定用來允許存取的許可權集。

[in] ObjectCreated

如果開啟作業造成新物件建立，則設定為 TRUE ;如果開啟現有的物件，則為 FALSE 。

[in] AccessGranted

如果根據先前的存取權檢查或許可權檢查授與開啟存取權，則設定為 TRUE ，如果拒絕則設定 為 FALSE 。

[in] AccessMode

用於存取檢查的存取模式。 UserMode 或 KernelMode。

[out] GenerateOnClose

當 SeOpenObjectAuditAlarm 傳回時，稽核產生例程所設定的旗標指標。

傳回值

無

備註

SeOpenObjectAuditAlarm 會針對使用者模式存取產生任何必要的稽核或警示訊息。不會針對核心模式存取產生任何訊息。

呼叫 SeOpenObjectAuditAlarm 之前，呼叫端必須呼叫 SeLockSubjectContext 來鎖定呼叫端的主要和模擬令牌。呼叫 SeOpenObjectAuditAlarm 之後，呼叫端必須呼叫 SeUnlockSubjectContext 來釋放這些令牌。

如需安全性和訪問控制的詳細資訊，請參閱適用於驅動程序開發人員的 Windows 安全性模型，以及 Windows SDK 中有關這些主題的檔。