SYSTEM_AUDIT_ACE结构定义了系统访问控制列表(ACL)的访问控制条目(ACE),指定访问类型导致系统级通知。当指定的用户或组尝试访问对象时,系统审核ACE会导致记录审核消息。该用户或组由安全标识符(SID)标识。
typedef struct _SYSTEM_AUDIT_ACE { //现在
ACE_HEADER Header;
ACCESS_MASK Mask;
DWORD SidStart;
} SYSTEM_AUDIT_ACE;
会员
头
指定ACE_HEADER结构。
面具
指定一个ACCESS_MASK结构,可以生成导致审核消息的访问权限。ACE_HEADER结构的AceFlags成员中的SUCCESSFUL_ACCESS_ACE_FLAG和FAILED_ACCESS_ACE_FLAG标志指示是否为访问尝试成功,访问尝试失败或两者都生成了消息。
SidStart
指定SID。由SidStart成员由SID匹配的任何用户或组指定的类型的访问尝试导致系统生成审核消息。如果应用程序没有为此成员指定SID,则会为所有用户和组的指定访问权限生成审核消息。
备注
审核消息存储在可以通过使用Win32 API事件记录功能或使用Windows NT事件查看器(EVENTVWR.EXE)进行操作的事件日志中。
ACE结构应在双字边界上对齐。所有Windows内存管理功能将双字对齐的句柄返回到内存。
也可以看看
ACCESS_ALLOWED_ACE, ACCESS_DENIED_ACE, ACCESS_MASK, ACE_HEADER, ACL, SYSTEM_ALARM_ACE