事件記錄安全性
安全性記錄檔是專為系統使用而設計。 不過,如果使用者已獲得SE_SECURITY_NAME許可權, (「管理稽核和安全性記錄」使用者權限) ,就可以讀取和清除安全性記錄檔。 如需詳細資訊,請參閱 許可權。
只有本機安全性授權單位 (Lsass.exe) 具有 安全性 記錄檔的寫入權限。 沒有其他帳戶可以要求此許可權。 若要將事件寫入 安全性 記錄檔,請使用 AuthzReportSecurityEvent 函式。
應用程式記錄檔、系統記錄檔和自訂記錄的存取權受到限制。 系統會根據授與執行緒執行所在帳戶的存取權限來授與存取權。 下表顯示事件記錄函式需要哪些類型的存取。
| 存取權限 | Description |
|---|---|
| ELF_LOGFILE_CLEAR (0x0004) | ClearEventLog的必要專案。 |
| ELF_LOGFILE_READ (0x0001) | OpenBackupEventLog和OpenEventLog的必要專案。 |
| ELF_LOGFILE_WRITE (0x0002) | RegisterEventSource的必要專案。 |
使用 CustomSD 登錄值來設定 應用程式 記錄檔、 系統 記錄檔和自訂記錄的安全性。 如需詳細資訊,請參閱 Eventlog 金鑰。
Windows XP/2000: 下表描述在每個記錄上授與每個帳戶的存取權限。
| Log | 帳戶 | 讀取 | Write | 清除 |
|---|---|---|---|---|
| 應用程式 | 系統管理員 (系統) | X | X | X |
| 系統管理員 (網域) | X | X | X | |
| LocalSystem | X | X | X | |
| 互動式使用者 | X | X | ||
| 系統 | 系統管理員 (系統) | X | X | X |
| 系統管理員 (網域) | X | X | ||
| LocalSystem | X | X | X | |
| 互動式使用者 | X | |||
| Custom | 系統管理員 (系統) | X | X | X |
| 系統管理員 (網域) | X | X | X | |
| LocalSystem | X | X | X | |
| 互動式使用者 | X | X |
若要授與來賓帳戶成員的存取權,請變更下列登錄值:
\ HKEY_LOCAL_MACHINE系統\CurrentControlSet\服務\EventLog\日誌\RestrictGuestAccess