SYSTEM_AUDIT_ACE Struktur (winnt.h)
Die SYSTEM_AUDIT_ACE-Struktur definiert einen Zugriffssteuerungseintrag (Access Control Entry , ACE) für die Systemzugriffssteuerungsliste (SACL), der angibt, welche Zugriffstypen Benachrichtigungen auf Systemebene verursachen. Ein Systemüberwachungs-ACE bewirkt, dass eine Überwachungsmeldung protokolliert wird, wenn ein bestimmter Treuhänder versucht, Zugriff auf ein Objekt zu erhalten. Der Treuhänder wird durch eine Sicherheits-ID (SID) identifiziert.
Syntax
typedef struct _SYSTEM_AUDIT_ACE {
ACE_HEADER Header;
ACCESS_MASK Mask;
DWORD SidStart;
} SYSTEM_AUDIT_ACE;
Member
Header
ACE_HEADER Struktur, die Größe und Typ von ACE angibt. Es enthält auch Flags, die die Vererbung des ACE durch untergeordnete Objekte steuern. Das AceType-Element der ACE_HEADER-Struktur sollte auf SYSTEM_AUDIT_ACE_TYPE festgelegt werden, und das AceSize-Element sollte auf die Gesamtzahl der Bytes festgelegt werden, die für die SYSTEM_AUDIT_ACE-Struktur zugewiesen sind.
Mask
Gibt eine ACCESS_MASK-Struktur an, die die Zugriffsrechte zur Folge hat, dass Überwachungsmeldungen generiert werden. Die SUCCESSFUL_ACCESS_ACE_FLAG- und FAILED_ACCESS_ACE_FLAG-Flags im AceFlags-Member der ACE_HEADER Struktur geben an, ob Nachrichten für erfolgreiche Zugriffsversuche, fehlgeschlagene Zugriffsversuche oder beides generiert werden.
SidStart
Die erste DWORD-SID eines Treuhänders. Die restlichen Bytes der SID werden nach dem SidStart-Member im zusammenhängenden Arbeitsspeicher gespeichert. Diese SID kann mit Anwendungsdaten angefügt werden.
Ein Zugriffsversuch einer Art, die vom Mask-Member von einem beliebigen Treuhänder angegeben wird, dessen SID mit dem SidStart-Member übereinstimmt, bewirkt, dass das System eine Überwachungsmeldung generiert. Wenn eine Anwendung keine SID für diesen Member angibt, werden Überwachungsmeldungen für die angegebenen Zugriffsrechte für alle Trustees generiert.
Hinweise
Überwachungsmeldungen werden in einem Ereignisprotokoll gespeichert, das mithilfe der Windows-API-Ereignisprotokollierungsfunktionen oder mithilfe der Ereignisanzeige (Eventvwr.exe) bearbeitet werden kann.
ACE-Strukturen sollten an DWORD-Grenzen ausgerichtet werden. Alle Windows-Speicherverwaltungsfunktionen geben DWORD-ausgerichtete Handles an den Arbeitsspeicher zurück.
Wenn eine SYSTEM_AUDIT_ACE-Struktur erstellt wird, muss genügend Arbeitsspeicher zugewiesen werden, um die vollständige SID des Treuhänders im SidStart-Member und den anschließenden zusammenhängenden Arbeitsspeicher aufzunehmen.
Anforderungen
| Unterstützte Mindestversion (Client) | Windows XP [nur Desktop-Apps] |
| Unterstützte Mindestversion (Server) | Windows Server 2003 [nur Desktop-Apps] |
| Kopfzeile | winnt.h (Einschließen von Windows.h) |
Weitere Informationen
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für