День добрый.
Есть ли какие-нибудь API функции, с помощью которых можно настроить системный аудит. Задача вообще состоит в следующем: написать приложение, которое бы включало аудит и ставило под наблюдение определенный файл. Это ведь достижимо посредством Win API?
Настройка аудита
Модераторы: Duncon, Hawk, Romeo, Eugie
Есть такая функция ReadDirectoryChangesW, с ее помощью можно отследить некоторые события (создание/модификация/удаление/изменение имени файла). Сам не пользовался, могу только дать ссылку на MSDN: http://msdn.microsoft.com/en-us/library ... 85%29.aspx
Есть еще группа функций Change Journals, они отслеживают изменения сразу во многих файлах и используются в бэкапах. Но они работают только в NTFS. Вот ссылка: http://msdn.microsoft.com/en-us/library ... 85%29.aspx
Есть еще группа функций Change Journals, они отслеживают изменения сразу во многих файлах и используются в бэкапах. Но они работают только в NTFS. Вот ссылка: http://msdn.microsoft.com/en-us/library ... 85%29.aspx
Спасибо, возьму на вооружение.
Ещё пара вопросов по аудиту:
Где в системе хранятся данные о настройках аудита (конфиги, реестр)?
Где хранятся журналы событий, как "они выглядят", можно ли до них добраться?
Ещё пара вопросов по аудиту:
Где в системе хранятся данные о настройках аудита (конфиги, реестр)?
Где хранятся журналы событий, как "они выглядят", можно ли до них добраться?
То, что вы подразумеваете под аудитом - контроль доступа к файловому ресурсу - решается с помощью настройки параметров безопасности на уровне файловой системы NTFS (контекстное меню в Проводнике Windows, закладка Безопасность, кнопка Дополнительно, в открывшемся окне закладка Аудит). Там вы можете настроить учет обращений к данному файлу/папке, которые будут отражаться в ветке Безопасность в консоли Просмотр событий. Например, если у вас Windows XP, подробнее см. здесь: http://support.microsoft.com/kb/310399
Физически журналы событий Windows (event logs) лежат в папке %SYSTEMROOT%/System32/Config - это файлы с расширением .evt
Там же находятся файлы реестра (имеют имя без расширения, например, sam, security, software) и их журналы (с расширением .log). Но напрямую обратиться к ним вы не сможете, т.к. система блокирует доступ к физическому реестру.
Физически журналы событий Windows (event logs) лежат в папке %SYSTEMROOT%/System32/Config - это файлы с расширением .evt
Там же находятся файлы реестра (имеют имя без расширения, например, sam, security, software) и их журналы (с расширением .log). Но напрямую обратиться к ним вы не сможете, т.к. система блокирует доступ к физическому реестру.