Безопасность ведения журнала событий
Журнал безопасности предназначен для использования системой. Однако пользователи могут читать и очищать журнал безопасности , если им предоставлены права SE_SECURITY_NAME (право пользователя "управление журналом аудита и безопасности"). Дополнительные сведения см. в разделе Привилегии.
Только локальный центр безопасности (Lsass.exe) имеет разрешение на запись для журнала безопасности . Никакие другие учетные записи не могут запросить эту привилегию. Чтобы записать событие в журнал безопасности , используйте функцию AuthzReportSecurityEvent .
Доступ к журналу приложений , системным журналам и пользовательским журналам ограничен. Система предоставляет доступ на основе прав доступа, предоставленных учетной записи, под которой выполняется поток. В следующей таблице показано, какие типы доступа требуются для функций ведения журнала событий.
| Право доступа | Описание |
|---|---|
| ELF_LOGFILE_CLEAR (0x0004) | Требуется для ClearEventLog. |
| ELF_LOGFILE_READ (0x0001) | Требуется для OpenBackupEventLog и OpenEventLog. |
| ELF_LOGFILE_WRITE (0x0002) | Требуется для RegisterEventSource. |
Используйте значение реестра CustomSD для настройки безопасности журнала приложений , системного журнала и пользовательских журналов. Дополнительные сведения см. в разделе Ключ журнала событий.
Windows XP/2000: В следующей таблице описаны права доступа, предоставляемые для каждой учетной записи в каждом журнале.
| Журнал | Учетная запись | Чтение | Write | Clear |
|---|---|---|---|---|
| Приложение | Администраторы (система) | X | X | X |
| Администраторы (домен) | X | X | X | |
| локальная система; | X | X | X | |
| Интерактивный пользователь | X | X | ||
| Системные функции | Администраторы (система) | X | X | X |
| Администраторы (домен) | X | X | ||
| локальная система; | X | X | X | |
| Интерактивный пользователь | X | |||
| Custom | Администраторы (система) | X | X | X |
| Администраторы (домен) | X | X | X | |
| локальная система; | X | X | X | |
| Интерактивный пользователь | X | X |
Чтобы предоставить доступ членам гостевой учетной записи, измените следующее значение реестра:
HKEY_LOCAL_MACHINE\СИСТЕМЫ\CurrentControlSet\Услуги\Eventlog\Журнала\RestrictGuestAccess