Win32 API 日本語リファレンス
ホームSystem.Diagnostics.Etw › EventAccessControl

EventAccessControl

関数
ETWプロバイダーへのアクセス権限を許可または拒否する。
DLLADVAPI32.dll呼出規約winapi対応OSWindows Vista 以降

シグネチャ

// ADVAPI32.dll
#include <windows.h>

DWORD EventAccessControl(
    GUID* Guid,
    DWORD Operation,
    PSID Sid,
    DWORD Rights,
    BOOLEAN AllowOrDeny
);

パラメーター

名前方向説明
GuidGUID*inアクセス許可を追加または変更する対象のプロバイダーまたはセッションを一意に識別する GUID。
OperationDWORDin実行する操作の種類です。たとえば、セッションの GUID やプロバイダーの GUID に DACL を追加するなどです。指定できる値については、EVENTSECURITYOPERATION 列挙体を参照してください。
SidPSIDinアクセス許可を付与または拒否する対象のユーザーまたはグループのセキュリティ識別子 (SID)。
RightsDWORDin

次のアクセス許可を 1 つ以上指定できます。

意味
WMIGUID_QUERY
ユーザーがトレースセッションに関する情報を照会できるようにします。このアクセス許可はセッションの GUID に設定します。
TRACELOG_CREATE_REALTIME
ユーザーがリアルタイムセッションを開始または更新できるようにします。このアクセス許可はセッションの GUID に設定します。
TRACELOG_CREATE_ONDISK
ユーザーがログファイルにイベントを書き込むセッションを開始または更新できるようにします。このアクセス許可はセッションの GUID に設定します。
TRACELOG_GUID_ENABLE
ユーザーがプロバイダーを有効にできるようにします。このアクセス許可はプロバイダーの GUID に設定します。
TRACELOG_ACCESS_KERNEL_LOGGER
使用されません。
TRACELOG_LOG_EVENT
セッションが SECURE モード (EVENT_TRACE_PROPERTIES の LogFileMode メンバーに EVENT_TRACE_SECURE_MODE フラグを設定したセッション) で実行されている場合に、ユーザーがトレースセッションにイベントをログ記録できるようにします。
TRACELOG_ACCESS_REALTIME
ユーザーがイベントをリアルタイムで消費できるようにします。このアクセス許可はセッションの GUID に設定します。
TRACELOG_REGISTER_GUIDS
ユーザーがプロバイダーを登録できるようにします。このアクセス許可はプロバイダーの GUID に設定します。
AllowOrDenyBOOLEANinTRUE の場合、セッションまたはプロバイダーに対するアクセス許可をユーザーに付与します。それ以外の場合はアクセス許可を拒否します。Operation の値が EventSecuritySetSACL または EventSecurityAddSACL の場合、この値は無視されます。

戻り値の型: DWORD

公式ドキュメント

指定したプロバイダーまたはセッションのアクセス許可を追加または変更します。

戻り値

成功した場合は ERROR_SUCCESS を返します。

解説(Remarks)

既定では、コンピューターの管理者、Performance Log Users グループのユーザー、および LocalSystem、LocalService、NetworkService として実行されるサービスのみが、トレースセッションを制御し、イベントデータを提供および消費できます。NT Kernel Logger セッションを開始および制御できるのは、管理者特権を持つユーザーと LocalSystem として実行されるサービスのみです。

Windows Server 2003: トレースセッションを制御してイベントデータを消費できるのは管理者特権を持つユーザーのみですが、イベントデータの提供は任意のユーザーが行えます。

Windows XP および Windows 2000: 任意のユーザーがトレースセッションを制御し、イベントデータを提供および消費できます。

管理者特権を持つユーザーは、セッションの制御に使用するツールを 管理者として実行... で開いたコマンドプロンプトウィンドウから起動した場合に、トレースセッションを制御できます。

制限付きユーザーにトレースセッションを制御する権限を付与するには、そのユーザーを Performance Log Users グループに追加するか、この関数を呼び出してアクセス許可を付与します。たとえば、ユーザー A にトレースセッションの開始と停止の権限を付与し、ユーザー B にはセッションの照会のみの権限を付与できます。

セッションにイベントをログ記録できるユーザーを制限するには、TRACELOG_LOG_EVENT アクセス許可を参照してください。

ログファイルからイベントデータを消費できるユーザーは、ログファイルの ACL によって決まります。セッションからイベントをリアルタイムで消費するには、ユーザーに TRACELOG_ACCESS_REALTIME アクセス許可を付与するか、ユーザーが Performance Log Users グループのメンバーである必要があります。

また、プロバイダーの GUID を指定して、プロバイダーを登録できるユーザーやプロバイダーを有効にできるユーザーを制限することもできます。

出典・ライセンス: 上記「公式ドキュメント」の内容は Microsoft の Win32 API ドキュメント(MicrosoftDocs/sdk-api)を日本語に翻訳・改変したものです。© Microsoft Corporation. CC BY 4.0 で提供。
Microsoft 公式リファレンス: 英語 (en-us) · 日本語 (ja-jp) · 原文ソース (GitHub)

各言語での呼び出し定義

// ADVAPI32.dll
#include <windows.h>

DWORD EventAccessControl(
    GUID* Guid,
    DWORD Operation,
    PSID Sid,
    DWORD Rights,
    BOOLEAN AllowOrDeny
);
[DllImport("ADVAPI32.dll", ExactSpelling = true)]
static extern uint EventAccessControl(
    ref Guid Guid,   // GUID*
    uint Operation,   // DWORD
    IntPtr Sid,   // PSID
    uint Rights,   // DWORD
    [MarshalAs(UnmanagedType.U1)] bool AllowOrDeny   // BOOLEAN
);
<DllImport("ADVAPI32.dll", ExactSpelling:=True)>
Public Shared Function EventAccessControl(
    ByRef Guid As Guid,   ' GUID*
    Operation As UInteger,   ' DWORD
    Sid As IntPtr,   ' PSID
    Rights As UInteger,   ' DWORD
    <MarshalAs(UnmanagedType.U1)> AllowOrDeny As Boolean   ' BOOLEAN
) As UInteger
End Function
' Guid : GUID*
' Operation : DWORD
' Sid : PSID
' Rights : DWORD
' AllowOrDeny : BOOLEAN
Declare PtrSafe Function EventAccessControl Lib "advapi32" ( _
    ByVal Guid As LongPtr, _
    ByVal Operation As Long, _
    ByVal Sid As LongPtr, _
    ByVal Rights As Long, _
    ByVal AllowOrDeny As Byte) As Long
' VBA7前提(PtrSafe)。32bit Office では LongPtr→Long。Integer=16bit / Long=32bit / LongLong=64bit。
import ctypes
from ctypes import wintypes

EventAccessControl = ctypes.windll.advapi32.EventAccessControl
EventAccessControl.restype = wintypes.DWORD
EventAccessControl.argtypes = [
    ctypes.c_void_p,  # Guid : GUID*
    wintypes.DWORD,  # Operation : DWORD
    wintypes.HANDLE,  # Sid : PSID
    wintypes.DWORD,  # Rights : DWORD
    wintypes.BOOLEAN,  # AllowOrDeny : BOOLEAN
]
require 'fiddle'
require 'fiddle/import'

lib = Fiddle.dlopen('ADVAPI32.dll')
EventAccessControl = Fiddle::Function.new(
  lib['EventAccessControl'],
  [
    Fiddle::TYPE_VOIDP,  # Guid : GUID*
    -Fiddle::TYPE_INT,  # Operation : DWORD
    Fiddle::TYPE_VOIDP,  # Sid : PSID
    -Fiddle::TYPE_INT,  # Rights : DWORD
    Fiddle::TYPE_CHAR,  # AllowOrDeny : BOOLEAN
  ],
  -Fiddle::TYPE_INT)
#[link(name = "advapi32")]
extern "system" {
    fn EventAccessControl(
        Guid: *mut GUID,  // GUID*
        Operation: u32,  // DWORD
        Sid: *mut core::ffi::c_void,  // PSID
        Rights: u32,  // DWORD
        AllowOrDeny: u8  // BOOLEAN
    ) -> u32;
}
// crates: windows-sys provides ready-made bindings for this API.
$sig = @"
[DllImport("ADVAPI32.dll")]
public static extern uint EventAccessControl(ref Guid Guid, uint Operation, IntPtr Sid, uint Rights, [MarshalAs(UnmanagedType.U1)] bool AllowOrDeny);
"@
$api = Add-Type -MemberDefinition $sig -Name 'ADVAPI32_EventAccessControl' -Namespace Win32 -PassThru
# $api::EventAccessControl(Guid, Operation, Sid, Rights, AllowOrDeny)
#uselib "ADVAPI32.dll"
#func global EventAccessControl "EventAccessControl" sptr, sptr, sptr, sptr, sptr
; EventAccessControl varptr(Guid), Operation, Sid, Rights, AllowOrDeny   ; 戻り値は stat
; Guid : GUID* -> "sptr"
; Operation : DWORD -> "sptr"
; Sid : PSID -> "sptr"
; Rights : DWORD -> "sptr"
; AllowOrDeny : BOOLEAN -> "sptr"
; ※HSP3.7は #func のため戻り値はシステム変数 stat に格納されます。
出力引数:
#uselib "ADVAPI32.dll"
#cfunc global EventAccessControl "EventAccessControl" var, int, sptr, int, int
; res = EventAccessControl(Guid, Operation, Sid, Rights, AllowOrDeny)
; Guid : GUID* -> "var"
; Operation : DWORD -> "int"
; Sid : PSID -> "sptr"
; Rights : DWORD -> "int"
; AllowOrDeny : BOOLEAN -> "int"
; ※出力/バッファ引数は var 方式(変数を直接渡す)。varptr 方式にも切替可。
出力引数:
; DWORD EventAccessControl(GUID* Guid, DWORD Operation, PSID Sid, DWORD Rights, BOOLEAN AllowOrDeny)
#uselib "ADVAPI32.dll"
#cfunc global EventAccessControl "EventAccessControl" var, int, intptr, int, int
; res = EventAccessControl(Guid, Operation, Sid, Rights, AllowOrDeny)
; Guid : GUID* -> "var"
; Operation : DWORD -> "int"
; Sid : PSID -> "intptr"
; Rights : DWORD -> "int"
; AllowOrDeny : BOOLEAN -> "int"
; ※出力/バッファ引数は var 方式(変数を直接渡す)。varptr 方式にも切替可。
import (
	"golang.org/x/sys/windows"
	"unsafe"
)

var (
	advapi32 = windows.NewLazySystemDLL("ADVAPI32.dll")
	procEventAccessControl = advapi32.NewProc("EventAccessControl")
)

// Guid (GUID*), Operation (DWORD), Sid (PSID), Rights (DWORD), AllowOrDeny (BOOLEAN)
r1, _, err := procEventAccessControl.Call(
	uintptr(Guid),
	uintptr(Operation),
	uintptr(Sid),
	uintptr(Rights),
	uintptr(AllowOrDeny),
)
_ = err  // syscall.Errno (valid when the call sets last-error)
_ = r1   // DWORD
function EventAccessControl(
  Guid: PGUID;   // GUID*
  Operation: DWORD;   // DWORD
  Sid: THandle;   // PSID
  Rights: DWORD;   // DWORD
  AllowOrDeny: ByteBool   // BOOLEAN
): DWORD; stdcall;
  external 'ADVAPI32.dll' name 'EventAccessControl';
result := DllCall("ADVAPI32\EventAccessControl"
    , "Ptr", Guid   ; GUID*
    , "UInt", Operation   ; DWORD
    , "Ptr", Sid   ; PSID
    , "UInt", Rights   ; DWORD
    , "Char", AllowOrDeny   ; BOOLEAN
    , "UInt")   ; return: DWORD
●EventAccessControl(Guid, Operation, Sid, Rights, AllowOrDeny) = DLL("ADVAPI32.dll", "dword EventAccessControl(void*, dword, void*, dword, byte)")
# 呼び出し: EventAccessControl(Guid, Operation, Sid, Rights, AllowOrDeny)
# Guid : GUID* -> "void*"
# Operation : DWORD -> "dword"
# Sid : PSID -> "void*"
# Rights : DWORD -> "dword"
# AllowOrDeny : BOOLEAN -> "byte"
# なでしこ1は32bit・ANSI(Shift_JIS)。文字列=char*(ANSI)、ポインタ/ハンドル=void*(4byte)。
const std = @import("std");

extern "advapi32" fn EventAccessControl(
    Guid: [*c]GUID, // GUID*
    Operation: u32, // DWORD
    Sid: ?*anyopaque, // PSID
    Rights: u32, // DWORD
    AllowOrDeny: u8 // BOOLEAN
) callconv(std.os.windows.WINAPI) u32;
proc EventAccessControl(
    Guid: ptr GUID,  # GUID*
    Operation: uint32,  # DWORD
    Sid: pointer,  # PSID
    Rights: uint32,  # DWORD
    AllowOrDeny: uint8  # BOOLEAN
): uint32 {.importc: "EventAccessControl", stdcall, dynlib: "ADVAPI32.dll".}
pragma(lib, "advapi32");
extern(Windows)
uint EventAccessControl(
    GUID* Guid,   // GUID*
    uint Operation,   // DWORD
    void* Sid,   // PSID
    uint Rights,   // DWORD
    ubyte AllowOrDeny   // BOOLEAN
);
ccall((:EventAccessControl, "ADVAPI32.dll"), stdcall, UInt32,
      (Ptr{GUID}, UInt32, Ptr{Cvoid}, UInt32, UInt8),
      Guid, Operation, Sid, Rights, AllowOrDeny)
# Guid : GUID* -> Ptr{GUID}
# Operation : DWORD -> UInt32
# Sid : PSID -> Ptr{Cvoid}
# Rights : DWORD -> UInt32
# AllowOrDeny : BOOLEAN -> UInt8
# stdcall は 32bit のみ意味を持つ(x64 では無視)。
local ffi = require("ffi")
ffi.cdef[[
uint32_t EventAccessControl(
    void* Guid,
    uint32_t Operation,
    void* Sid,
    uint32_t Rights,
    uint8_t AllowOrDeny);
]]
local advapi32 = ffi.load("advapi32")
-- advapi32.EventAccessControl(Guid, Operation, Sid, Rights, AllowOrDeny)
-- Guid : GUID*
-- Operation : DWORD
-- Sid : PSID
-- Rights : DWORD
-- AllowOrDeny : BOOLEAN
-- 構造体/GUIDへのポインタは cdef が通るよう void* で表記(実型は各引数コメント参照)。値渡し構造体・enum は対応する typedef を cdef に追加すること。
const koffi = require('koffi');
const lib = koffi.load('ADVAPI32.dll');
const EventAccessControl = lib.func('__stdcall', 'EventAccessControl', 'uint32_t', ['void *', 'uint32_t', 'void *', 'uint32_t', 'uint8_t']);
// EventAccessControl(Guid, Operation, Sid, Rights, AllowOrDeny)
// Guid : GUID* -> 'void *'
// Operation : DWORD -> 'uint32_t'
// Sid : PSID -> 'void *'
// Rights : DWORD -> 'uint32_t'
// AllowOrDeny : BOOLEAN -> 'uint8_t'
// 出力ポインタは koffi.out(...) で包む。構造体は koffi.struct で定義。
const lib = Deno.dlopen("ADVAPI32.dll", {
  EventAccessControl: { parameters: ["pointer", "u32", "pointer", "u32", "u8"], result: "u32" },
});
// lib.symbols.EventAccessControl(Guid, Operation, Sid, Rights, AllowOrDeny)
// Guid : GUID* -> "pointer"
// Operation : DWORD -> "u32"
// Sid : PSID -> "pointer"
// Rights : DWORD -> "u32"
// AllowOrDeny : BOOLEAN -> "u8"
// 文字列引数は "buffer"(NUL 終端のバイト列を Uint8Array で渡す)。
// 値渡し構造体は { struct: [ ...field types... ] } を使用。
<?php
$ffi = FFI::cdef(<<<C
uint32_t EventAccessControl(
    void* Guid,
    uint32_t Operation,
    void* Sid,
    uint32_t Rights,
    uint8_t AllowOrDeny);
C, "ADVAPI32.dll");
// $ffi->EventAccessControl(Guid, Operation, Sid, Rights, AllowOrDeny);
// Guid : GUID*
// Operation : DWORD
// Sid : PSID
// Rights : DWORD
// AllowOrDeny : BOOLEAN
// 構造体/GUIDへのポインタは cdef が通るよう void* で表記(実型は各引数コメント参照)。値渡し構造体・enum は対応する typedef を cdef に追加すること。
// WINAPI(stdcall): x64 では呼出規約が統一されるため問題なし。x86 では __stdcall 対応のラッパが必要な場合あり。
import com.sun.jna.*;
import com.sun.jna.ptr.*;
import com.sun.jna.win32.StdCallLibrary;
import com.sun.jna.win32.W32APIOptions;

public interface Advapi32 extends StdCallLibrary {
    Advapi32 INSTANCE = Native.load("advapi32", Advapi32.class);
    int EventAccessControl(
        Pointer Guid,   // GUID*
        int Operation,   // DWORD
        Pointer Sid,   // PSID
        int Rights,   // DWORD
        byte AllowOrDeny   // BOOLEAN
    );
}
@[Link("advapi32")]
lib LibADVAPI32
  fun EventAccessControl = EventAccessControl(
    Guid : GUID*,   # GUID*
    Operation : UInt32,   # DWORD
    Sid : Void*,   # PSID
    Rights : UInt32,   # DWORD
    AllowOrDeny : UInt8   # BOOLEAN
  ) : UInt32
end
# 構造体/GUID/enum は lib 内に対応する型定義が必要。
# 呼出規約: x64 は規約統一のため OK。x86(32bit)は WINAPI=stdcall だが Crystal の fun に stdcall 付与構文がなく非対応。
import 'dart:ffi';
import 'package:ffi/ffi.dart';

typedef EventAccessControlNative = Uint32 Function(Pointer<Void>, Uint32, Pointer<Void>, Uint32, Uint8);
typedef EventAccessControlDart = int Function(Pointer<Void>, int, Pointer<Void>, int, int);
final EventAccessControl = DynamicLibrary.open('ADVAPI32.dll')
    .lookupFunction<EventAccessControlNative, EventAccessControlDart>('EventAccessControl');
// Guid : GUID* -> Pointer<Void>
// Operation : DWORD -> Uint32
// Sid : PSID -> Pointer<Void>
// Rights : DWORD -> Uint32
// AllowOrDeny : BOOLEAN -> Uint8
// 文字列は package:ffi の "...".toNativeUtf16()/toNativeUtf8() で変換。
{$mode objfpc}{$H+}
function EventAccessControl(
  Guid: PGUID;   // GUID*
  Operation: DWORD;   // DWORD
  Sid: THandle;   // PSID
  Rights: DWORD;   // DWORD
  AllowOrDeny: ByteBool   // BOOLEAN
): DWORD; stdcall;
  external 'ADVAPI32.dll' name 'EventAccessControl';
import Foreign
import Foreign.C.Types
import Foreign.C.String

foreign import stdcall safe "EventAccessControl"
  c_EventAccessControl :: Ptr () -> Word32 -> Ptr () -> Word32 -> Word8 -> IO Word32
-- Guid : GUID* -> Ptr ()
-- Operation : DWORD -> Word32
-- Sid : PSID -> Ptr ()
-- Rights : DWORD -> Word32
-- AllowOrDeny : BOOLEAN -> Word8
-- 要 GHC(Windows)。stdcall は x64 では ccall として扱われる。ブロックする API は safe 呼び出し推奨。
open Ctypes
open Foreign

let eventaccesscontrol =
  foreign "EventAccessControl"
    ((ptr void) @-> uint32_t @-> (ptr void) @-> uint32_t @-> uint8_t @-> returning uint32_t)
(* Guid : GUID* -> (ptr void) *)
(* Operation : DWORD -> uint32_t *)
(* Sid : PSID -> (ptr void) *)
(* Rights : DWORD -> uint32_t *)
(* AllowOrDeny : BOOLEAN -> uint8_t *)
(* foreign は cdecl 前提。x64 Windows では WINAPI と一致。構造体は ctypes structure を定義のこと。 *)
(cffi:define-foreign-library advapi32 (t "ADVAPI32.dll"))
(cffi:use-foreign-library advapi32)

(cffi:defcfun ("EventAccessControl" event-access-control :convention :stdcall) :uint32
  (guid :pointer)   ; GUID*
  (operation :uint32)   ; DWORD
  (sid :pointer)   ; PSID
  (rights :uint32)   ; DWORD
  (allow-or-deny :uint8))   ; BOOLEAN
; isize/usize(INT_PTR/SIZE_T)は x64 前提で :int64/:uint64。x86 では :int32/:uint32。
use Win32::API;
my $EventAccessControl = Win32::API::More->new('ADVAPI32',
    'DWORD EventAccessControl(LPVOID Guid, DWORD Operation, HANDLE Sid, DWORD Rights, BYTE AllowOrDeny)');
# my $ret = $EventAccessControl->Call($Guid, $Operation, $Sid, $Rights, $AllowOrDeny);
# Guid : GUID* -> LPVOID
# Operation : DWORD -> DWORD
# Sid : PSID -> HANDLE
# Rights : DWORD -> DWORD
# AllowOrDeny : BOOLEAN -> BYTE
# 値渡し構造体は pack() した文字列、または Win32::API::Struct を使用。

関連項目

公式の関連項目