详述Windows Server 2008全面审核策略

　　图 1 对某个对象使用 SACL

　　了解“审核策略”与 SACL 之间的关系至关重要，因为在涉及环境中的变更时，需要通过配置来捕捉“正确”的审核事件。如前所述，“审核目录服务访问”和“审核对象访问审核策略”只允许在安全事件日志中针对那些特定类别生成审核，如果某个对象在其 SACL 中配置了审核 ACE，则只生成事件。当这些条目准备就绪后，安全事件将由 Windows 本地安全机构 (LSA) 生成并被写入安全事件日志。

　　事件由两个截然不同的区域组成：标头 - 它是静态的，预先为每个事件标识符(事件 ID)都做了定义;正文 - 它是动态的，不同的事件包含不同的详细信息。图 2 显示了 Windows Server 2008 安全事件示例中的这两个元素。了解这些事件的组成对任意审核项目的分析阶段而言都非常重要，并且对于了解在各种工具(如 ACS)中如何返回信息也具有特殊意义。

　　图 2 审核事件的标头和正文