winapi — запись в журнал безопасности Windows с переполнением стека

Мне было поручено записывать записи в журнал безопасности Windows. Весь проект представляет собой код Win32 C ++. Я уже написал (с помощью различных онлайн-ресурсов) класс ведения журнала, который обрабатывает регистрацию, отмену регистрации и код для выполнения вызова ReportEvent (). Кроме того, я выполнил шаги mc.exe и rc.exe для ведения журнала событий, если это поможет установить, где я нахожусь в проекте.

У меня вопрос многопартийный:

  1. Я заметил на Заполнение журнала событий безопасности Windows XP что некоторые считают, что это не разрешено Windows. Другие ( Как записать журнал в журнал событий безопасности в C #? ) подразумевать иначе. Возможно или нет?
  2. Если это возможно, как заставить его записать в журнал безопасности. Это так же просто, как указать «Безопасность», как мое имя источника при вызове RegisterEventSource ()?
  3. Что касается отмены регистрации, когда это должно произойти? Когда приложение будет удалено? Когда приложение закрывается? Когда запись в журнале пишется?
  4. Как мне посмотреть записи в моем журнале? Я смотрю в средстве просмотра событий Windows, но не вижу записей, которые добавляю в свое тестовое приложение, несмотря на все соответствующие возвращаемые значения из системных вызовов. Где я могу найти события, которые я указал с именем источника «yarp», когда я сделал свой вызов RegisterEventSource ()?

0

Решение

На данный момент я просто разберусь с первым вопросом, потому что ответ на этот вопрос наверное делает остальное неактуальным.

Только локальный орган безопасности (lsass.exe) может записывать в журнал безопасности. Дело не в том, что что-то еще, пытающееся получить привилегию, потерпит неудачу — дело в том, что не существует способа, чтобы кто-то еще вообще мог запросить привилегию (и это сделано специально).

Оттуда, о единственном ответе на другие ваши вопросы «Извините!»

1

Другие решения

Других решений пока нет …

По вопросам рекламы [email protected]