Compartir a través de

estructura POLICY_AUDIT_EVENTS_INFO (ntsecapi.h)

  • Artículo

La estructura POLICY_AUDIT_EVENTS_INFO se usa para establecer y consultar las reglas de auditoría del sistema. Las funciones LsaQueryInformationPolicy y LsaSetInformationPolicy usan esta estructura cuando sus parámetros InformationClass se establecen en PolicyAuditEventsInformation.

Sintaxis

typedef struct _POLICY_AUDIT_EVENTS_INFO {
  BOOLEAN                     AuditingMode;
  PPOLICY_AUDIT_EVENT_OPTIONS EventAuditingOptions;
  ULONG                       MaximumAuditEventCount;
} POLICY_AUDIT_EVENTS_INFO, *PPOLICY_AUDIT_EVENTS_INFO;

Miembros

AuditingMode

Indica si la auditoría está habilitada.

Si esta marca es TRUE, el sistema genera registros de auditoría según las opciones de auditoría de eventos especificadas en el miembro EventAuditingOptions .

Si esta marca es FALSE, el sistema no genera registros de auditoría. Sin embargo, tenga en cuenta que establecer las operaciones actualizan las opciones de auditoría de eventos como se especifica en el miembro EventAuditingOptions incluso cuando AuditingMode es FALSE.

EventAuditingOptions

Puntero a una matriz de variables de POLICY_AUDIT_EVENT_OPTIONS. Cada elemento de esta matriz especifica las opciones de auditoría de un tipo de evento de auditoría. El índice de cada elemento de matriz corresponde a un valor de tipo de evento de auditoría en el tipo de enumeración POLICY_AUDIT_EVENT_TYPE .

Cada POLICY_AUDIT_EVENT_OPTIONS variable de la matriz puede especificar las siguientes opciones de auditoría. También puede combinar las opciones de éxito y error, POLICY_AUDIT_EVENT_SUCCESS y POLICY_AUDIT_EVENT_FAILURE.

Cuando se llama a LSASetInformationPolicy para cambiar la directiva de auditoría, los nuevos elementos de matriz de POLICY_AUDIT_EVENT_OPTIONS se agregan a las opciones de auditoría existentes. Al agregar un nuevo elemento POLICY_AUDIT_EVENT_OPTIONS combinado con la opción de auditoría POLICY_AUDIT_EVENT_NONE, se cancelan todas las opciones de auditoría anteriores y se inicia un nuevo conjunto de opciones.

Valor Significado
POLICY_AUDIT_EVENT_UNCHANGED
 Para las operaciones set, especifique este valor para dejar las opciones actuales sin cambios. Para las operaciones de lectura, este valor significa que no se generan registros de auditoría para este tipo. Este es el valor predeterminado.
POLICY_AUDIT_EVENT_SUCCESS
 Generar registros de auditoría para eventos correctos de este tipo.
POLICY_AUDIT_EVENT_FAILURE
 Generar registros de auditoría para intentos erróneos de provocar que se produzca un evento de este tipo.
POLICY_AUDIT_EVENT_NONE
 No genere registros de auditoría para eventos de este tipo.

MaximumAuditEventCount

Especifica el número de elementos de la matriz EventAuditingOptions . En el caso de las operaciones set, si este valor es menor que el número de tipos de eventos de auditoría admitidos por el sistema, el sistema no cambia las opciones de auditoría de los tipos de eventos con índices iguales o superiores al valor especificado en MaximumAuditEventCount.

Comentarios

La directiva LSA define una máscara para las opciones válidas de auditoría de eventos. La máscara de POLICY_AUDIT_EVENT_MASK se evalúa como TRUE si se establece igual a cualquiera de las opciones de auditoría de eventos anteriores.

Requisitos

Requisito Value
Cliente mínimo compatible Windows XP [solo aplicaciones de escritorio]
Servidor mínimo compatible Windows Server 2003 [solo aplicaciones de escritorio]
Encabezado ntsecapi.h

Consulte también

LsaQueryInformationPolicy

LsaSetInformationPolicy

POLICY_AUDIT_EVENT_TYPE

POLICY_INFORMATION_CLASS