auditpol get

適用対象: Windows Server 2022、Windows Server 2019、Windows Server、2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012

システム ポリシー、ユーザーごとのポリシー、監査オプション、および監査セキュリティ記述子オブジェクトを取得します。

per-user ポリシーと system ポリシーに対して get 操作を実行するには、セキュリティ記述子のそのオブジェクト セットの読み取りのアクセス許可を持っている必要があります。 監査とセキュリティ ログの管理 (SeSecurityPrivilege) ユーザー権利を持っている場合は、get 操作を実行することもできます。 ただし、この権限では、全体的な get 操作を実行する必要がない追加のアクセスが許可されます。

構文

auditpol /get
[/user[:<username>|<{sid}>]]
[/category:*|<name>|<{guid}>[,:<name|<{guid}> ]]
[/subcategory:*|<name>|<{guid}>[,:<name|<{guid}> ]]
[/option:<option name>]
[/sd]
[/r]

パラメーター

パラメーター 説明
/user ユーザーごとの監査ポリシーを照会する対象のセキュリティ プリンシパルを表示します。 /category パラメーターまたは /subcategory パラメーターのどちらかを指定する必要があります。 ユーザーは、セキュリティ識別子 (SID) または名前として指定できます。 ユーザー アカウントが指定されていない場合は、システム監査ポリシーが照会されます。
/category グローバル一意識別子 (GUID) または名前によって指定された 1 つ以上の監査カテゴリ。 アスタリスク (*) を使用して、すべての監査カテゴリを照会する必要があることを示すことができます。
/subcategory GUID または名前で指定された 1 つ以上の監査サブカテゴリ。
/sd 監査ポリシーへのアクセスを委任するために使用されるセキュリティ記述子を取得します。
/option CrashOnAuditFail、FullprivilegeAuditing、AuditBaseObjects、または Auditbaseobjects オプションの既存のポリシーを取得します。
/r 出力をレポート形式で、コンマ区切り値 (CSV) で表示します。
/? コマンド プロンプトにヘルプを表示します。

解説

すべてのカテゴリおよびサブカテゴリは、引用符 (") で囲まれた GUID または名前で指定できます。 ユーザーは SID または名前で指定できます。

Guest アカウントのユーザーごとの監査ポリシーを取得し、システムの出力、詳細な追跡、オブジェクト アクセスのカテゴリを表示するには、次のように入力します。

auditpol /get /user:{S-1-5-21-1443922412-3030960370-963420232-51} /category:System,detailed Tracking,Object Access

Note

このコマンドは、2 つのシナリオで役立ちます。 1) 特定のユーザー アカウントで疑わしいアクティビティを監視する場合は、/get コマンドを使用して、追加の監査を有効にする包含ポリシーを使用して、特定のカテゴリの結果を取得できます。 2) アカウントの監査設定によって多数の余分なイベントがログに記録される場合は、/get コマンドを使用して、除外ポリシーを使用してそのアカウントの不要なイベントを除外できます。 すべてのカテゴリの一覧を表示するには、auditpol /list /category コマンドを使用します。

Guest アカウントのシステム カテゴリのサブカテゴリについて、包括的設定と排他設定をレポートするカテゴリおよび特定のサブカテゴリについて、ユーザーごとの監査ポリシーを取得するには、次のように入力します。

auditpol /get /user:guest /category:System /subcategory:{0ccee921a-69ae-11d9-bed3-505054503030}

出力をレポート形式で表示し、コンピューター名、ポリシー ターゲット、サブカテゴリ、サブカテゴリ GUID、包含設定、および除外設定を含めるには、次のように入力します。

auditpol /get /user:guest /category:detailed Tracking /r

システム監査ポリシーのカテゴリおよびサブカテゴリ ポリシー設定を報告するシステム カテゴリおよびサブカテゴリのポリシーを取得するには、次のように入力します。

auditpol /get /category:System /subcategory:{0ccee921a-69ae-11d9-bed3-505054503030}

詳細な追跡カテゴリおよびレポート形式のサブカテゴリのポリシーを取得し、コンピューター名、ポリシー ターゲット、サブカテゴリ、サブカテゴリ GUID、包含設定、および除外設定を含めるには、次のように入力します。

auditpol /get /category:detailed Tracking /r

GUID として指定されたカテゴリを持つ 2 つのカテゴリのポリシーを取得し、2 つのカテゴリの下にあるすべてのサブカテゴリのすべての監査ポリシー設定を報告するには、次のように入力します。

auditpol /get /category:{69979849-797a-11d9-bed3-505054503030},{69997984a-797a-11d9-bed3-505054503030} subcategory:{0ccee921a-69ae-11d9-bed3-505054503030}

AuditBaseObjects オプションの状態 (有効または無効) を取得するには、次のように入力します。

auditpol /get /option:AuditBaseObjects

使用可能なオプションは、AuditBaseObjects、AuditBaseOperations、FullprivilegeAuditing です。 CrashOnAuditFail オプションの有効、無効、または 2 の状態を取得するには、次のように入力します。

auditpol /get /option:CrashOnAuditFail /r