Freigeben über

POLICY_AUDIT_EVENTS_INFO-Struktur (ntsecapi.h)

  • Artikel

Die POLICY_AUDIT_EVENTS_INFO-Struktur wird verwendet, um die Überwachungsregeln des Systems festzulegen und abzufragen. Die Funktionen LsaQueryInformationPolicy und LsaSetInformationPolicy verwenden diese Struktur, wenn ihre InformationClass-Parameter auf PolicyAuditEventsInformation festgelegt sind.

Syntax

typedef struct _POLICY_AUDIT_EVENTS_INFO {
  BOOLEAN                     AuditingMode;
  PPOLICY_AUDIT_EVENT_OPTIONS EventAuditingOptions;
  ULONG                       MaximumAuditEventCount;
} POLICY_AUDIT_EVENTS_INFO, *PPOLICY_AUDIT_EVENTS_INFO;

Member

AuditingMode

Gibt an, ob die Überwachung aktiviert ist.

Wenn dieses Flag TRUE ist, generiert das System Überwachungsdatensätze gemäß den Ereignisüberwachungsoptionen, die im EventAuditingOptions-Member angegeben sind.

Wenn dieses Flag FALSE ist, generiert das System keine Überwachungsdatensätze. Beachten Sie jedoch, dass set-Vorgänge die Ereignisüberwachungsoptionen aktualisieren, wie im EventAuditingOptions-Member angegeben, auch wenn AuditingModeFALSE ist.

EventAuditingOptions

Zeiger auf ein Array von POLICY_AUDIT_EVENT_OPTIONS Variablen. Jedes Element in diesem Array gibt die Überwachungsoptionen für einen Überwachungsereignistyp an. Der Index jedes Arrayelements entspricht einem Wert des Überwachungsereignistyps im POLICY_AUDIT_EVENT_TYPE Enumerationstyps.

Jede POLICY_AUDIT_EVENT_OPTIONS Variable im Array kann die folgenden Überwachungsoptionen angeben. Sie können auch die Erfolg- und Fehleroptionen kombinieren, POLICY_AUDIT_EVENT_SUCCESS und POLICY_AUDIT_EVENT_FAILURE.

Wenn LSASetInformationPolicy aufgerufen wird, um die Überwachungsrichtlinie zu ändern, werden alle neuen POLICY_AUDIT_EVENT_OPTIONS Arrayelemente zu vorhandenen Überwachungsoptionen hinzugefügt. Durch das Hinzufügen eines neuen POLICY_AUDIT_EVENT_OPTIONS-Elements in Kombination mit der Option POLICY_AUDIT_EVENT_NONE Überwachung werden alle vorherigen Überwachungsoptionen abgebrochen und eine neue Reihe von Optionen gestartet.

Wert Bedeutung
POLICY_AUDIT_EVENT_UNCHANGED
 Geben Sie für Festgelegtvorgänge diesen Wert an, um die aktuellen Optionen unverändert zu lassen. Für Lesevorgänge bedeutet dieser Wert, dass keine Überwachungsdatensätze für diesen Typ generiert werden. Dies ist die Standardoption.
POLICY_AUDIT_EVENT_SUCCESS
 Generieren Sie Überwachungsdatensätze für erfolgreiche Ereignisse dieses Typs.
POLICY_AUDIT_EVENT_FAILURE
 Generieren Sie Überwachungsdatensätze für fehlgeschlagene Versuche, ein Ereignis dieses Typs zu verursachen.
POLICY_AUDIT_EVENT_NONE
 Generieren Sie keine Überwachungsdatensätze für Ereignisse dieses Typs.

MaximumAuditEventCount

Gibt die Anzahl der Elemente im Array EventAuditingOptions an . Wenn dieser Wert bei festgelegten Vorgängen kleiner als die Anzahl der vom System unterstützten Überwachungsereignistypen ist, ändert das System die Überwachungsoptionen für Ereignistypen nicht, deren Indizes gleich oder höher als der in MaximumAuditEventCount angegebene Wert sind.

Hinweise

LSA-Richtlinie definiert eine Maske für die gültigen Ereignisüberwachungsoptionen. Die POLICY_AUDIT_EVENT_MASK-Maske wird auf TRUE ausgewertet, wenn sie gleich einer der vorherigen Ereignisüberwachungsoptionen festgelegt ist.

Anforderungen

Anforderung Wert
Unterstützte Mindestversion (Client) Windows XP [nur Desktop-Apps]
Unterstützte Mindestversion (Server) Windows Server 2003 [nur Desktop-Apps]
Kopfzeile ntsecapi.h

Weitere Informationen

LsaQueryInformationPolicy

LsaSetInformationPolicy

POLICY_AUDIT_EVENT_TYPE

POLICY_INFORMATION_CLASS