Цитата:
|
Сообщение от poli-smen
Через WMI я события журнала "Security" не читал, но через стандартные API-функции (OpenEventLog, ReadEventLog, ...) журнал "Security" я читал без проблем. Но правда только с правами администратора.
|
Да, стандартными я тоже читал, через ReadEventLog().
Однако там я так и не смог придумать, как отличить события:
- создание файла;
- чтение файла (или атрибутов файла);
- перемещение файла;
- удаление файла.
А через WMI оно читается через "InsertionStrings" записи журнала, которые через API недоступны
Если же есть опыт подобного отслеживания через API, буду премного благодарен, если поделитесь
