я думаю, я могу писать свои журналы, используя эту функцию, если я могу это сделать, у меня есть еще один вопрос, как я могу использовать эту функцию в powershell или python?
В Windows Server 2003 ограничение доступа для записи в журнал безопасности было несколько ослаблено без изменения фундаментальной структуры за счет введения специального набора API (см. рис. 2). Эти API используют внутренние вызовы процедур (LPC) для взаимодействия с LSA, предписывая ему создавать журналы аудита от имени приложения. Механизм элегантный и простой.
Сначала приложение регистрирует дескриптор источника события безопасности с помощью LSA, вызывая AuthzRegisterSecurityEventSource. Единственный параметр, представляющий интерес для этого API, — это имя источника события, которое может быть практически любым, с некоторыми ограничениями. Например, его нельзя назвать «Безопасность», поскольку это имя зарезервировано для системного использования. Дескриптор источника события безопасности, возвращаемый этим вызовом, используется в следующих шагах.
Затем события генерируются путем вызова одного из двух тесно связанных API: AuthzReportSecurityEvent или AuthzReportSecurityEventFromParams. Наконец, когда приложение завершает работу, оно отменяет регистрацию дескриптора источника события безопасности, вызывая AuthzUnregisterSecurityEventSource.
См.: Журнал безопасности
Можете ли вы поделиться каким-либо примером того, как я могу вызвать эту функцию и записать журнал в журнал безопасности, используя эту функцию.
Пример кода: (С++)
#include <stdio.h>
#include <iostream>
#include <string>
#include <strsafe.h>
#include <windows.h>
#include <Authz.h>
#include <Ntsecapi.h>
#pragma comment(lib,"Authz.lib")
#pragma comment(lib,"Advapi32.lib")
BOOL SetPrivilege(
HANDLE hToken, // access token handle
LPCTSTR lpszPrivilege, // name of privilege to enable/disable
BOOL bEnablePrivilege // to enable or disable privilege
)
{
TOKEN_PRIVILEGES tp;
LUID luid;
if (!LookupPrivilegeValue(
NULL, // lookup privilege on local system
lpszPrivilege, // privilege to lookup
&luid)) // receives LUID of privilege
{
printf("LookupPrivilegeValue error: %u\n", GetLastError());
return FALSE;
}
tp.PrivilegeCount = 1;
tp.Privileges[0].Luid = luid;
if (bEnablePrivilege)
tp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
else
tp.Privileges[0].Attributes = 0;
// Enable the privilege or disable all privileges.
if (!AdjustTokenPrivileges(
hToken,
FALSE,
&tp,
sizeof(TOKEN_PRIVILEGES),
(PTOKEN_PRIVILEGES)NULL,
(PDWORD)NULL))
{
printf("AdjustTokenPrivileges error: %u\n", GetLastError());
return FALSE;
}
if (GetLastError() == ERROR_NOT_ALL_ASSIGNED)
{
printf("The token does not have the specified privilege. \n");
return FALSE;
}
printf("Get the specified privilege! \n");
return TRUE;
}
int main(int argc, const char* argv[])
{
// Declare and initialize variables.
BOOL bResult = TRUE;
DWORD event_id = 4624;
AUTHZ_SECURITY_EVENT_PROVIDER_HANDLE hEventProvider = NULL;
PAUDIT_PARAMS p;
std::string Source_Name = "Test security audit";
std::wstring ws;
std::string pbuf = "What is your purpose ?";
std::wstring ws_buf;
int return_code = 0;
int i = 0;
// Register the audit provider.
HANDLE token;
HANDLE hevent_source;
ws.assign(Source_Name.begin(), Source_Name.end());
ws_buf.assign(pbuf.begin(), pbuf.end());
if (!OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &token))
return FALSE;
SetPrivilege(token, L"SeAuditPrivilege", true);
AUTHZ_SOURCE_SCHEMA_REGISTRATION ar;
memset(&ar, 0, sizeof(ar));
ar.dwFlags = AUTHZ_ALLOW_MULTIPLE_SOURCE_INSTANCES;
ar.szEventSourceName = &ws[0];
ar.szEventMessageFile = &ws_buf[0];
ar.szEventSourceXmlSchemaFile = NULL;
ar.szEventAccessStringsFile = &ws_buf[0];
ar.szExecutableImagePath = NULL;
AuthzInstallSecurityEventSource(0, &ar);
bResult = AuthzRegisterSecurityEventSource(0, ws.c_str(), &hEventProvider);
int err = GetLastError();
if (!bResult)
{
printf("AuthzRegisterSecurityEventSource failed, error is %d\n", err);
return_code = -1;
}
SID id;
if (hEventProvider)
{
// Generate the audit.
while (i < 10) {
bResult = AuthzReportSecurityEvent(
APF_AuditSuccess,
hEventProvider,
event_id,
NULL,
3,
APT_String, L"Jay Hamlin",
APT_String, L"March 21, 1960",
APT_Ulong, 45);
int err1 = GetLastError();
if (!bResult)
{
printf("AuthzReportSecurityEvent failed, error is %d\n", err1);
return_code = -2;
break;
}
i++;
}
AuthzUnregisterSecurityEventSource(0, &hEventProvider);
AuthzUninstallSecurityEventSource(0, &ws[0]);
}
std::cout << "Exit : " << return_code << std::endl;
getchar();
}
Примечание. Перед запуском примера кода необходимо выполнить несколько действий в локальной политике безопасности. Шаги могут относиться: https://stackoverflow.com/a/18242724/11128312
После назначения разрешений текущему пользователю перезагрузите компьютер, чтобы они вступили в силу.
Обновлено:
Перейдите в локальные политики-›Политика аудита. Включите аудит доступа к объектам для успеха и неудачи.
Затем вы снова перестраиваете и отлаживаете, вы обнаружите, что журналы безопасности появляются в средстве просмотра событий.
person
Strive Sun
schedule
08.09.2020
Write-EventLogзавершается ошибкой, так как у вас недостаточно прав для проведения аудита безопасности. Выбор другого способа написания аудита безопасности не увенчается успехом по той же причине. Вам придется узнать, как работает система безопасности. - person IInspectable schedule 04.09.2020