Заполнение журнала событий безопасности Windows XP

Question

Мне нужно заполнить журнал событий безопасности Windows до почти полного состояния. Поскольку доступ на запись в этот журнал невозможен, может ли кто-нибудь посоветовать, какое действие может быть выполнено программным путем и которое добавит запись в этот журнал? Он не должен иметь никакого значения, если он дает запись (нужна запись с наименьшими издержками, так как ее нужно будет выполнять тысячи раз).

Это необходимо исключительно для целей тестирования на испытательном стенде, подойдет любое грязное решение. Единственное требование - это .NET 2.0 (C #).

Answer 1

Вы можете включить все категории аудита безопасности в локальной политике безопасности (secpol.msc | Локальные политики | Политика аудита). Доступ к объектам имеет тенденцию давать множество событий. Включение аудита доступа к файлам, а затем настройка аудита для всех при частом доступе к файлам и папкам также приведет к большому количеству событий.

И это нормальное использование, которое включает любой программный доступ к проверяемым ресурсам (в конце концов, все это программно, просто чужая программа).

Answer 2

1. Включить аудит входа в систему, как Ричард упоминал выше. Успех или неудача зависит от того, как вы справитесь с шагом 2:
2. Используйте LoginUser для олицетворения локального пользователя в системе - или FAIL для олицетворения этого локального пользователя в системе. Тонны сэмплов для хорошей реализации C #.
3. Повторно вызывайте в тесной петле.

Другой подход, который вы можете использовать, включает в себя доступ к объектам и выполнение большого количества операций ввода-вывода для файлов или регистров. Это также приведет к полному заполнению журнала за чрезвычайно короткий период времени.