0

我的任务是向 Windows 安全日志写入条目。整个项目是 Win32 C++ 代码。我已经(在各种在线资源的帮助下)编写了一个日志类,用于处理注册、注销和执行 ReportEvent() 调用的代码。此外,我已经完成了事件记录的 mc.exe 和 rc.exe 步骤,如果这有助于确定我在项目中的位置。

我的问题是多方的:

  1. 我在填写 Windows XP 安全事件日志时注意到,有些人认为 Windows 不允许这样做。其他(How to write log to SECURITY event Log in C#?)另有暗示。可能与否?
  2. 如果可能,如何让它写入安全日志。调用 RegisterEventSource() 时是否像将“Security”指定为我的源名称一样简单?
  3. 至于注销,什么时候应该发生?什么时候卸载应用?应用程序何时关闭?何时写入日志条目?
  4. 如何查找我的日志条目?我查看了 Windows 事件查看器,但没有看到我在测试应用程序中添加的条目,尽管系统调用有所有适当的返回值。当我调用 RegisterEventSource() 时,我会在哪里查找源名称为“yarp”的事件?
4

1 回答 1

1

目前,我将只处理第一个问题,因为这个问题的答案可能会使其余的问题变得无关紧要。

只有本地安全机构 (lsass.exe) 可以写入安全日志。这不是试图获得特权的其他事物会失败的问题——而是根本没有其他任何方法可以请求特权(这是设计使然)。

从那里开始,您其他问题的唯一答案是“对不起!”

于 2012-11-04T00:54:28.097 回答