SYSTEM_AUDIT_ACE構造体 (winnt.h)
SYSTEM_AUDIT_ACE構造では、システム レベルの通知を引き起こすアクセスの種類を指定する、システム アクセス制御リスト (SACL) のアクセス制御エントリ (ACE) を定義します。 システム監査 ACE では、指定された トラスティ がオブジェクトへのアクセスを試みたときに監査メッセージがログに記録されます。 トラスティは、 セキュリティ識別子 (SID) によって識別されます。
構文
typedef struct _SYSTEM_AUDIT_ACE {
ACE_HEADER Header;
ACCESS_MASK Mask;
DWORD SidStart;
} SYSTEM_AUDIT_ACE;
メンバー
Header
ACE_HEADER ACE のサイズと種類を指定する構造体です。 また、子オブジェクトによる ACE の継承を制御するフラグも含まれています。 ACE_HEADER構造体の AceType メンバーをSYSTEM_AUDIT_ACE_TYPEに設定し、AceSize メンバーをSYSTEM_AUDIT_ACE構造体に割り当てられたバイトの合計数に設定する必要があります。
Mask
監査メッセージの生成を引き起こすアクセス権を付与する ACCESS_MASK 構造体を指定します。 ACE_HEADER構造体の AceFlags メンバーのSUCCESSFUL_ACCESS_ACE_FLAGフラグと FAILED_ACCESS_ACE_FLAG フラグは、アクセス試行の成功、アクセス試行の失敗、またはその両方に対してメッセージが生成されるかどうかを示します。
SidStart
トラスティの SID の最初の DWORD 。 SID の残りのバイトは、 SidStart メンバーの後の連続したメモリに格納されます。 この SID は、アプリケーション データと共に追加できます。
SID が SidStart メンバーと一致するトラスティによって Mask メンバーによって指定された種類のアクセス試行により、システムは監査メッセージを生成します。 アプリケーションでこのメンバーの SID が指定されていない場合は、すべてのトラスティに対して指定されたアクセス権に対して監査メッセージが生成されます。
解説
監査メッセージは、Windows API イベント ログ関数を使用するか、イベント ビューアー (Eventvwr.exe) を使用して操作できるイベント ログに格納されます。
ACE 構造体は DWORD 境界に配置する必要があります。 すべての Windows メモリ管理機能は 、DWORD で配置されたハンドルをメモリに返します。
SYSTEM_AUDIT_ACE構造体を作成するときは、SidStart メンバー内のトラスティの完全な SID とそれに続く連続したメモリに対応するために十分なメモリを割り当てる必要があります。
要件
| サポートされている最小のクライアント | Windows XP (デスクトップ アプリのみ) |
| サポートされている最小のサーバー | Windows Server 2003 (デスクトップ アプリのみ) |
| Header | winnt.h (Windows.h を含む) |