POLICY_AUDIT_EVENT_TYPE enumeración (ntsecapi.h)

  • Artículo

La enumeración POLICY_AUDIT_EVENT_TYPE define valores que indican los tipos de eventos que el sistema puede auditar. Las funciones LsaQueryInformationPolicy y LsaSetInformationPolicy usan esta enumeración cuando sus parámetros InformationClass se establecen en PolicyAuditEventsInformation.

Syntax

typedef enum _POLICY_AUDIT_EVENT_TYPE {
  AuditCategorySystem = 0,
  AuditCategoryLogon,
  AuditCategoryObjectAccess,
  AuditCategoryPrivilegeUse,
  AuditCategoryDetailedTracking,
  AuditCategoryPolicyChange,
  AuditCategoryAccountManagement,
  AuditCategoryDirectoryServiceAccess,
  AuditCategoryAccountLogon
} POLICY_AUDIT_EVENT_TYPE, *PPOLICY_AUDIT_EVENT_TYPE;

Constantes

 
AuditCategorySystem
Valor: 0
Determina si el sistema operativo debe auditar cualquiera de los siguientes intentos:


  • Se ha intentado cambiar la hora del sistema.

  • Intento de inicio, reinicio o apagado del sistema de seguridad.

  • Intente cargar características de autenticación extensibles.

  • Pérdida de eventos auditados debido a un error del sistema de auditoría.

  • Tamaño del registro de seguridad que supera un nivel de umbral de advertencia configurable.
AuditCategoryLogon
Determina si el sistema operativo debe auditar cada vez que este equipo valida las credenciales de una cuenta. Los eventos de inicio de sesión de la cuenta se generan cada vez que un equipo valida las credenciales de una de sus cuentas locales. La validación de credenciales puede ser compatible con un inicio de sesión local o, en el caso de una cuenta de dominio de Active Directory en un controlador de dominio, puede ser compatible con un inicio de sesión en otro equipo. Los eventos auditados de las cuentas locales deben iniciar sesión en el registro de seguridad local del equipo. El logotipo de la cuenta no genera un evento que se puede auditar.
AuditCategoryObjectAccess
Determina si el sistema operativo debe auditar cada instancia de usuario intenta acceder a un objeto que no es de Active Directory, como un archivo, que tiene especificada su propia lista de control de acceso del sistema (SACL). El tipo de solicitud de acceso, como Write, Read o Modify, y la cuenta que realiza la solicitud debe coincidir con la configuración de SACL.
AuditCategoryPrivilegeUse
Determina si el sistema operativo debe auditar cada instancia de usuario intenta usar privilegios.
AuditCategoryDetailedTracking
Determina si el sistema operativo debe auditar eventos específicos, como la activación del programa, algunas formas de controlar la duplicación, el acceso indirecto a un objeto y la salida del proceso.
AuditCategoryPolicyChange
Determina si el sistema operativo debe auditar los intentos de cambiar las reglas de objetos de directiva, como la directiva de asignación de derechos de usuario, la directiva de auditoría, la directiva de cuenta o la directiva de confianza.
AuditCategoryAccountManagement
Determina si el sistema operativo debe auditar los intentos de crear, eliminar o cambiar cuentas de usuario o grupo. Además, audite los cambios de contraseña.
AuditCategoryDirectoryServiceAccess
Determina si el sistema operativo debe auditar los intentos de acceder al servicio de directorio. El objeto de Active Directory tiene su propia SACL especificada. El tipo de solicitud de acceso, como Write, Read o Modify, y la cuenta que realiza la solicitud debe coincidir con la configuración de SACL.
AuditCategoryAccountLogon
Determina si el sistema operativo debe auditar cada instancia de un usuario que intente iniciar sesión o cerrar sesión en este equipo. También audita los intentos de inicio de sesión por cuentas con privilegios que inician sesión en el controlador de dominio. Estos eventos de auditoría se generan cuando el Centro de distribución de claves (KDC) kerberos inicia sesión en el controlador de dominio. Los intentos de cierre de sesión se generan cada vez que finaliza la sesión de inicio de sesión de una cuenta de usuario que ha iniciado sesión.

Comentarios

La enumeración POLICY_AUDIT_EVENT_TYPE puede expandirse en versiones futuras de Windows. Por este motivo, no debe calcular directamente el número de valores de esta enumeración. En su lugar, debe obtener el recuento de valores llamando a LsaQueryInformationPolicy con el parámetro InformationClass establecido en PolicyAuditEventsInformation y extraer el recuento del miembro MaximumAuditEventCount de la estructura de POLICY_AUDIT_EVENTS_INFO devuelta.

Requisitos

Requisito Value
Cliente mínimo compatible Windows XP [solo aplicaciones de escritorio]
Servidor mínimo compatible Windows Server 2003 [solo aplicaciones de escritorio]
Encabezado ntsecapi.h

Consulte también

LsaQueryInformationPolicy

LsaSetInformationPolicy

POLICY_INFORMATION_CLASS