审核生成

C2 级安全要求指定系统管理员必须能够审核安全相关事件，并且必须将此审核数据的访问权限限制为授权管理员。 Windows API 提供的功能使管理员能够监视与安全相关的事件。

安全对象的安全描述符可以具有 系统访问控制列表（SACL）。 SACL 包含 访问控制条目（ACE），这些条目指定生成审核报告的访问尝试的类型。 每个 ACE 都会标识受托人、一组访问权限和一组标志，这些标志指示系统是否为失败的访问尝试、成功的访问尝试或两者生成审核消息。

系统将审核消息写入安全事件日志。 有关访问安全事件日志中的记录的信息，请参阅 事件日志。

若要读取或写入对象的 SACL，线程必须首先启用SE_SECURITY_NAME特权。 有关详细信息，请参阅 SACL 访问权限。

Windows API 还支持服务器应用程序在客户端尝试访问专用对象时生成审核消息。 有关详细信息，请参阅 审核对专用对象的访问。