auditpol get
S’applique à : Windows Server 2022, Windows Server 2019, Windows Server, 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Récupère la stratégie système, la stratégie par utilisateur, les options d’audit et l’objet de descripteur de sécurité d’audit.
Pour effectuer des opérations get sur les stratégies par utilisateur et système, vous devez disposer de l’autorisation Lecture pour cet objet défini dans le descripteur de sécurité. Vous pouvez également effectuer des opérations get si vous disposez du droit d’utilisateur Gérer le journal d’audit et de sécurité (SeSecurityPrivilege). Toutefois, ce droit autorise un accès supplémentaire qui n’est pas nécessaire pour effectuer les opérations get globales.
Syntaxe
auditpol /get
[/user[:<username>|<{sid}>]]
[/category:*|<name>|<{guid}>[,:<name|<{guid}> ]]
[/subcategory:*|<name>|<{guid}>[,:<name|<{guid}> ]]
[/option:<option name>]
[/sd]
[/r]
Paramètres
| Paramètre | Description |
|---|---|
| /user | Affiche le principal de sécurité pour lequel la stratégie d’audit par utilisateur est interrogée. Le paramètre /category ou /subcategory doit être spécifié. L’utilisateur peut être spécifié en tant qu’identificateur de sécurité (SID) ou nom. Si aucun compte d’utilisateur n’est spécifié, la stratégie d’audit système est interrogée. |
| /category | Une ou plusieurs catégories d’audit spécifiées par l’identificateur global unique (GUID) ou le nom. Un astérisque (*) peut être utilisé pour indiquer que toutes les catégories d’audit doivent être interrogées. |
| /subcategory | Une ou plusieurs sous-catégories d’audit spécifiées par le GUID ou le nom. |
| /sd | Récupère le descripteur de sécurité utilisé pour déléguer l’accès à la stratégie d’audit. |
| /option | Récupère la stratégie existante pour les options CrashOnAuditFail, FullprivilegeAuditing, AuditBaseObjects ou AuditBasedirectories. |
| /r | Affiche la sortie au format de rapport à valeurs séparées par des virgules (CSV). |
| /? | Affiche l'aide à l'invite de commandes. |
Notes
Toutes les catégories et sous-catégories peuvent être spécifiées par le GUID ou le nom entre guillemets ("). Les utilisateurs peuvent être spécifiés par SID ou par nom.
Exemples
Pour récupérer la stratégie d’audit par utilisateur pour le compte invité et afficher la sortie pour les catégories Système, Suivi détaillé et Accès aux objets, tapez :
auditpol /get /user:{S-1-5-21-1443922412-3030960370-963420232-51} /category:System,detailed Tracking,Object Access
Notes
Cette commande est utile dans deux scénarios. 1) Lors de la surveillance d’une activité suspecte d’un compte d’utilisateur spécifique, vous pouvez utiliser la commande /get pour récupérer les résultats dans des catégories spécifiques à l’aide d’une stratégie d’inclusion pour activer un audit supplémentaire. 2) Si les paramètres d’audit d’un compte journalisent des événements nombreux mais superflus, vous pouvez utiliser la commande /get pour filtrer les événements superflus pour ce compte avec une stratégie d’exclusion. Pour obtenir la liste de toutes les catégories, utilisez la commande auditpol /list /category.
Pour récupérer la stratégie d’audit par utilisateur pour une catégorie et une sous-catégorie particulière, qui indique les paramètres inclusifs et exclusifs de cette sous-catégorie sous la catégorie Système pour le compte invité, tapez :
auditpol /get /user:guest /category:System /subcategory:{0ccee921a-69ae-11d9-bed3-505054503030}
Pour afficher la sortie au format de rapport et inclure le nom de l’ordinateur, la cible de stratégie, la sous-catégorie, le GUID de sous-catégorie, les paramètres d’inclusion et les paramètres d’exclusion, tapez :
auditpol /get /user:guest /category:detailed Tracking /r
Pour récupérer la stratégie pour la catégorie système et les sous-catégories, qui indique les paramètres de stratégie de catégorie et de sous-catégorie pour la stratégie d’audit système, tapez :
auditpol /get /category:System /subcategory:{0ccee921a-69ae-11d9-bed3-505054503030}
Pour récupérer la stratégie pour la catégorie de suivi détaillée et les sous-catégories au format de rapport et inclure le nom de l’ordinateur, la cible de stratégie, la sous-catégorie, le GUID de sous-catégorie, les paramètres d’inclusion et les paramètres d’exclusion, tapez :
auditpol /get /category:detailed Tracking /r
Pour récupérer la stratégie pour deux catégories avec les catégories spécifiées en tant que GUID, qui indique tous les paramètres de stratégie d’audit de toutes les sous-catégories sous deux catégories, tapez :
auditpol /get /category:{69979849-797a-11d9-bed3-505054503030},{69997984a-797a-11d9-bed3-505054503030} subcategory:{0ccee921a-69ae-11d9-bed3-505054503030}
Pour récupérer l’état, activé ou désactivé, de l’option AuditBaseObjects, tapez :
auditpol /get /option:AuditBaseObjects
Où les options disponibles sont AuditBaseObjects, AuditBaseOperations et FullprivilegeAuditing. Pour récupérer l’état activé, désactivé ou 2 de l’option CrashOnAuditFail, tapez :
auditpol /get /option:CrashOnAuditFail /r