Share via

structure POLICY_AUDIT_EVENTS_INFO (ntsecapi.h)

  • Article

La structure POLICY_AUDIT_EVENTS_INFO est utilisée pour définir et interroger les règles d’audit du système. Les fonctions LsaQueryInformationPolicy et LsaSetInformationPolicy utilisent cette structure lorsque leurs paramètres InformationClass sont définis sur PolicyAuditEventsInformation.

Syntaxe

typedef struct _POLICY_AUDIT_EVENTS_INFO {
  BOOLEAN                     AuditingMode;
  PPOLICY_AUDIT_EVENT_OPTIONS EventAuditingOptions;
  ULONG                       MaximumAuditEventCount;
} POLICY_AUDIT_EVENTS_INFO, *PPOLICY_AUDIT_EVENTS_INFO;

Membres

AuditingMode

Indique si l’audit est activé.

Si cet indicateur a la valeur TRUE, le système génère des enregistrements d’audit en fonction des options d’audit des événements spécifiées dans le membre EventAuditingOptions .

Si cet indicateur a la valeur FALSE, le système ne génère pas d’enregistrements d’audit. Toutefois, notez que les opérations de définition mettent à jour les options d’audit d’événements comme spécifié dans le membre EventAuditingOptions , même lorsque AuditingMode a la valeur FALSE.

EventAuditingOptions

Pointeur vers un tableau de variables POLICY_AUDIT_EVENT_OPTIONS. Chaque élément de ce tableau spécifie les options d’audit pour un type d’événement d’audit. L’index de chaque élément de tableau correspond à une valeur de type d’événement d’audit dans le type d’énumération POLICY_AUDIT_EVENT_TYPE .

Chaque variable POLICY_AUDIT_EVENT_OPTIONS dans le tableau peut spécifier les options d’audit suivantes. Vous pouvez également combiner les options de réussite et d’échec, POLICY_AUDIT_EVENT_SUCCESS et POLICY_AUDIT_EVENT_FAILURE.

Lorsque LSASetInformationPolicy est appelé pour modifier la stratégie d’audit, tous les nouveaux éléments de tableau POLICY_AUDIT_EVENT_OPTIONS sont ajoutés aux options d’audit existantes. L’ajout d’un nouvel élément POLICY_AUDIT_EVENT_OPTIONS combiné à l’option d’audit POLICY_AUDIT_EVENT_NONE annule toutes les options d’audit précédentes et commence un nouvel ensemble d’options.

Valeur Signification
POLICY_AUDIT_EVENT_UNCHANGED
 Pour les opérations de définition, spécifiez cette valeur pour laisser les options actuelles inchangées. Pour les opérations de lecture, cette valeur signifie qu’aucun enregistrement d’audit pour ce type n’est généré. Il s’agit de la valeur par défaut.
POLICY_AUDIT_EVENT_SUCCESS
 Générez des enregistrements d’audit pour les événements réussis de ce type.
POLICY_AUDIT_EVENT_FAILURE
 Générez des enregistrements d’audit pour les tentatives ayant échoué pour provoquer un événement de ce type.
POLICY_AUDIT_EVENT_NONE
 Ne générez pas d’enregistrements d’audit pour les événements de ce type.

MaximumAuditEventCount

Spécifie le nombre d’éléments dans le tableau EventAuditingOptions . Pour les opérations de définition, si cette valeur est inférieure au nombre de types d’événements d’audit pris en charge par le système, le système ne modifie pas les options d’audit pour les types d’événements avec des index égaux ou supérieurs à la valeur spécifiée dans MaximumAuditEventCount.

Remarques

La stratégie LSA définit un masque pour les options d’audit d’événements valides. Le masque POLICY_AUDIT_EVENT_MASK prend la valeur TRUE s’il est défini comme égal à l’une des options d’audit d’événement précédentes.

Configuration requise

Condition requise Valeur
Client minimal pris en charge Windows XP [applications de bureau uniquement]
Serveur minimal pris en charge Windows Server 2003 [applications de bureau uniquement]
En-tête ntsecapi.h

Voir aussi

LsaQueryInformationPolicy

LsaSetInformationPolicy

POLICY_AUDIT_EVENT_TYPE

POLICY_INFORMATION_CLASS