Geração de auditoria

Os requisitos de segurança em nível C2 especificam que os administradores do sistema devem ser capazes de auditar eventos relacionados à segurança e que o acesso a esses dados de auditoria deve ser limitado aos administradores autorizados. A API do Windows fornece funções que permitem que um administrador monitore eventos relacionados à segurança.

O descritor de segurança de um objeto protegível pode ter uma lista de controle de acesso do sistema (SACL). Um SACL contém entradas de controle de acesso (ACEs) que especificam os tipos de tentativas de acesso que geram relatórios de auditoria. Cada ACE identifica um administrador, um conjunto de direitos de acesso e um conjunto de sinalizadores que indicam se o sistema gera mensagens de auditoria para tentativas de acesso com falha, tentativas de acesso bem-sucedidas ou ambas.

O sistema grava mensagens de auditoria no log de eventos de segurança. Para obter informações sobre como acessar os registros em um log de eventos de segurança, consulte Log de Eventos.

Para ler ou gravar o SACL de um objeto, um thread deve primeiro habilitar o privilégio de SE_SECURITY_NAME. Para obter mais informações, consulte à direita do ACESSO SACL.

A API do Windows também fornece suporte para aplicativos de servidor para gerar mensagens de auditoria quando um cliente tenta acessar um objeto privado. Para obter mais informações, consulte Auditando o acesso a objetos privados.