Accorder les droits d'écriture dans le journal d'évènement

[Tristan Zwingelstein]

J'aimerai accorder les droits d'écriture dans l'observateur d'évènement, plus particulièrement dans le journal "Application".

Est - ce possible ?
Si oui comment ?

[ram-0000]

A priori, tu n'as rien à faire pour peu que ton application respecte 2 ou 3 petites choses.

Plus d'info ici : La journalisation dans le monde Microsoft, découvrez l'API EventLog (tu as de la chance, c'est tout frais )

[Tristan Zwingelstein]

J'ai une source crée dans

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Application\

En suivant le tutoriel j'ai mis les valeurs suivantes à l'EventLog Application :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
CustomSD 0x0002 <- pour avoir l'accès en écriture

et

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
RestrictGuestAccess 0 <- pour permettre à tout le monde d'avoir accès aux journaux

Par acquis de conscience j'ai même donner les droits en écriture à tout le monde sur le fichier contenant les log d'application (C:\Windows\System32\Winevt\Logs\Application.evtx)

Mais j'ai toujours un accès refusé quand je ne suis pas administrateur.

Aurais - je oublié quelque chose ?

[ram-0000]

Je ne comprends pas :

Citation:

CustomSD 0x0002 <- pour avoir l'accès en écriture

Pas utile mais pourquoi pas

Citation:

RestrictGuestAccess 0 <- pour permettre à tout le monde d'avoir accès aux journaux

Pas utile non plus mais pourquoi pas

Citation:

Par acquis de conscience j'ai même donner les droits en écriture à tout le monde sur le fichier contenant les log d'application (C:\Windows\System32\Winevt\Logs\Application.evtx)

Pas utile non plus (mais cela n'est pas un problème mis à part la sécurité)puisque c'est le sous système EventLog (avec l'identité LocalSystem) qui accède au fichier.

Quels sont les droits sur la clé HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Application\<mon application>. Avec Regedit, clic droit sur la clé puis options "Autorisations ...".

Les permissions que j'ai sur cette clé (Windows 7 pro) sont :

• Utilisateurs authentifiés : Lecture
• Système : Contrôle totale + Lecture
• Administrateurs : Contrôle totale + Lecture

Tu dois avoir un truc spécial sur ta machine car normallement dans HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Application\, il n'y a pas de problème.

As tu suivi l'exemple du tuto ?

[Tristan Zwingelstein]

J'ai rétabli la configuration de départ et accorder les droits d'écriture à mon utilisateur sur l'EventLog Application et sur la source que j'ai créé à l'intérieur.

Mais mon utilisateur n'arrive toujours pas à écrire dans Application avec cette source.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
As tu suivi l'exemple du tuto ?

De quel exemple parles - tu ?

merci

[ram-0000]

Citation:

Envoyé par ram-0000

Plus d'info ici : La journalisation dans le monde Microsoft, découvrez l'API EventLog (tu as de la chance, c'est tout frais )

Paragraphe 5, il y a un exemple et en plus, il est tout compilé. Il génère des EventLog dans le journal Application (Attention, il faut lancer le binaire une 1ere fois en tant qu'administrateur).