Partager via


Sécurité de journalisation des événements

Le journal de sécurité est conçu pour être utilisé par le système. Toutefois, les utilisateurs peuvent lire et effacer le journal de sécurité s’ils ont reçu le privilège SE_SECURITY_NAME (le droit d’utilisateur « gérer l’audit et le journal de sécurité »). Pour plus d’informations, consultez Privilèges.

Seule l’autorité de sécurité locale (Lsass.exe) dispose de l’autorisation d’écriture pour le journal de sécurité . Aucun autre compte ne peut demander ce privilège. Pour écrire un événement dans le journal de sécurité , utilisez la fonction AuthzReportSecurityEvent .

L’accès au journal des applications, au journal système et aux journaux personnalisés est limité. Le système accorde l’accès en fonction des droits d’accès accordés au compte sous lequel le thread est en cours d’exécution. Le tableau suivant indique les types d’accès requis par les fonctions de journalisation des événements.

Droit d’accès Description
ELF_LOGFILE_CLEAR (0x0004) Requis par ClearEventLog.
ELF_LOGFILE_READ (0x0001) Requis par OpenBackupEventLog et OpenEventLog.
ELF_LOGFILE_WRITE (0x0002) Requis par RegisterEventSource.

 

Utilisez la valeur de Registre CustomSD pour configurer la sécurité du journal des applications, du journal système et des journaux personnalisés. Pour plus d’informations, consultez Eventlog Key.

Windows XP/2000 : Le tableau suivant décrit les droits d’accès accordés pour chaque compte sur chaque journal.

Journal Compte Lire Write Effacer
Application Administrateurs (système) X X X
Administrateurs (domaine) X X X
LocalSystem X X X
Utilisateur interactif X X
Système Administrateurs (système) X X X
Administrateurs (domaine) X X
LocalSystem X X X
Utilisateur interactif X
Personnalisée Administrateurs (système) X X X
Administrateurs (domaine) X X X
LocalSystem X X X
Utilisateur interactif X X

 

Pour accorder l’accès aux membres du compte Invité, modifiez la valeur de Registre suivante :

HKEY_LOCAL_MACHINE\SYSTÈME\Currentcontrolset\Services\Eventlog\Rapport\RestrictGuestAccess