auditpol get
Gilt für: Windows Server 2022, Windows Server 2019, Windows Server, 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Ruft die Systemrichtlinie, die Richtlinie pro Benutzer, die Überwachungsoptionen und das Überwachungsobjekt für den Sicherheitsdeskriptor ab
Zum Ausführen von get-Vorgängen für die Pro-Benutzer-Richtlinien und die Systemrichtlinien müssen Sie in der Sicherheitsbeschreibung für dieses Objekt über die Berechtigung Lesen verfügen. Sie können ebenfalls get-Vorgänge ausführen, wenn Ihnen das Benutzerrecht Verwalten von Überwachungs- und Sicherheitsprotokollen (SeSecurityPrivilege) zugewiesen ist. Dieses Recht erlaubt jedoch zusätzlichen Zugriff, der zum Ausführen der gesamten get-Vorgänge nicht notwendig ist.
Syntax
auditpol /get
[/user[:<username>|<{sid}>]]
[/category:*|<name>|<{guid}>[,:<name|<{guid}> ]]
[/subcategory:*|<name>|<{guid}>[,:<name|<{guid}> ]]
[/option:<option name>]
[/sd]
[/r]
Parameter
| Parameter | BESCHREIBUNG |
|---|---|
| /user | Zeigt den Sicherheitsprinzipal an, für den die Überwachungsrichtlinie pro Benutzer abgefragt wird. Entweder muss der Parameter /category oder /subcategory angegeben werden. Benutzer*innen können als Sicherheitsbezeichner (SID) oder Name angegeben werden. Wenn kein Benutzerkonto angegeben ist, wird die Systemüberwachungsrichtlinie abgefragt. |
| /category | Eine oder mehrere Überwachungskategorien, angegeben durch einen global eindeutigen Bezeichner (GUID) oder Namen. Ein Sternchen (*) kann verwendet werden, um anzugeben, dass alle Überwachungskategorien abgefragt werden sollen. |
| /subcategory | Eine oder mehrere Überwachungsunterkategorien, angegeben durch einen global eindeutigen Bezeichner (GUID) oder Namen |
| /sd | Ruft die Sicherheitsbeschreibung ab, die zum Delegieren des Zugriffs an die Überwachungsrichtlinie verwendet wird |
| /option | Ruft die vorhandene Richtlinie für die Verzeichnisse „CrashOnAuditFail“, „FullprivilegeAuditing“, „AuditBaseObjects“ oder „AuditBasedirectories“ ab |
| /r | Zeigt die Ausgabe im Berichtsformat an, die durch Trennzeichen getrennte Datei (CSV) |
| /? | Zeigt die Hilfe an der Eingabeaufforderung an. |
Bemerkungen
Alle Kategorien und Unterkategorien können durch die GUID oder den Namen in Anführungszeichen (") angegeben werden. Benutzer*innen können durch die SID oder den Namem angegeben werden.
Beispiele
Geben Sie Folgendes ein, um die Pro-Benutzer-Überwachungsrichtlinie für das Gastkonto abzurufen und die Ausgabe für die Kategorien „System“, „detaillierte Nachverfolgung“ und „Objektzugriff“ anzuzeigen:
auditpol /get /user:{S-1-5-21-1443922412-3030960370-963420232-51} /category:System,detailed Tracking,Object Access
Hinweis
Dieser Befehl ist in zwei Szenarios nützlich. 1) Wenn Sie ein bestimmtes Benutzerkonto auf verdächtige Aktivitäten überwachen, können Sie den Befehl /get verwenden, um die Ergebnisse in bestimmten Kategorien abzurufen, indem Sie eine Einschlussrichtlinie verwenden, um die zusätzliche Überwachung zu aktivieren. 2) Wenn Überwachungseinstellungen für ein Konto zahlreiche, aber überflüssige Ereignisse protokollieren, können Sie den Befehl /get verwenden, um überflüssige Ereignisse für dieses Konto mit einer Ausschlussrichtlinie herauszufiltern. Verwenden Sie den Befehl auditpol /list /category, um eine Liste aller Kategorien anzuzeigen.
Geben Sie Folgendes ein, um die Pro-Benutzer-Überwachungsrichtlinie für eine Kategorie und eine bestimmte Unterkategorie abzurufen, die die inklusiven und exklusiven Einstellungen für diese Unterkategorie unter der Systemkategorie für das Gastkonto meldet:
auditpol /get /user:guest /category:System /subcategory:{0ccee921a-69ae-11d9-bed3-505054503030}
Geben Sie Folgendes ein, um die Ausgabe im Berichtsformat anzuzeigen und den Computernamen, das Richtlinienziel, die Unterkategorie, die Unterkategorie-GUID, die Einschlusseinstellungen und die Ausschlusseinstellungen einzuschließen:
auditpol /get /user:guest /category:detailed Tracking /r
Geben Sie Folgendes ein, um die Richtlinie für die Systemkategorie und die Unterkategorien abzurufen, die die Richtlinieneinstellungen für die Kategorie und Unterkategorie für die Überwachungsrichtlinie des Systems meldet:
auditpol /get /category:System /subcategory:{0ccee921a-69ae-11d9-bed3-505054503030}
Geben Sie Folgendes ein, um die Richtlinie für die detaillierte Nachverfolgungskategorie und -unterkategorien im Berichtsformat anzuzeigen und den Computernamen, das Richtlinienziel, die Unterkategorie, die Unterkategorie-GUID, die Einschlusseinstellungen und die Ausschlusseinstellungen einzuschließen:
auditpol /get /category:detailed Tracking /r
Geben Sie Folgendes ein, um die Richtlinie für zwei Kategorien mit den als GUIDs angegebenen Kategorien abzurufen, die alle Überwachungsrichtlinieneinstellungen aller Unterkategorien unter zwei Kategorien meldet:
auditpol /get /category:{69979849-797a-11d9-bed3-505054503030},{69997984a-797a-11d9-bed3-505054503030} subcategory:{0ccee921a-69ae-11d9-bed3-505054503030}
Geben Sie Folgendes ein, um den Status der Option AuditBaseObjects abzurufen, also entweder „aktiviert“ oder „deaktiviert“:
auditpol /get /option:AuditBaseObjects
Die verfügbaren Optionen sind AuditBaseObjects, AuditBaseOperations und FullprivilegeAuditing. Geben Sie Folgendes ein, um den Status „aktiviert“, „deaktiviert“ oder „2“ der Option CrashOnAuditFail abzurufen:
auditpol /get /option:CrashOnAuditFail /r