auditpol get
Recupera a política do sistema, a política por usuário, as opções de auditoria e o objeto descritor de segurança de auditoria.
Para executar operações de obtenção nas políticas por usuário e de sistema, você deve ter permissão de Leitura para esse objeto definido no descritor de segurança. Você também poderá executar operações de obtenção se tiver o direito de uso para Gerenciar log de auditoria e segurança (SeSecurityPrivilege). No entanto, esse direito permite acesso adicional que não é necessário para executar as operações de obtenção gerais.
Sintaxe
auditpol /get
[/user[:<username>|<{sid}>]]
[/category:*|<name>|<{guid}>[,:<name|<{guid}> ]]
[/subcategory:*|<name>|<{guid}>[,:<name|<{guid}> ]]
[/option:<option name>]
[/sd]
[/r]
Parâmetros
Parâmetro | Descrição |
---|---|
/user | Exibe a entidade de segurança para a qual a política de auditoria por usuário é consultada. O parâmetro /category ou /subcategory deve ser especificado. O usuário pode ser especificado como um SID (identificador de segurança) ou nome. Se nenhuma conta de usuário for especificada, a política de auditoria do sistema será consultada. |
/category | Uma ou mais categorias de auditoria especificadas pelo GUID (identificador global exclusivo) ou pelo nome. Um asterisco (*) pode ser usado para indicar que todas as categorias de auditoria devem ser consultadas. |
/subcategoria | Uma ou mais subcategorias de auditoria especificadas por GUID ou nome. |
/sd | Recupera o descritor de segurança usado para delegar acesso à política de auditoria. |
/option | Recupera a política existente para as opções CrashOnAuditFail, FullprivilegeAuditing, AuditBaseObjects ou AuditBasedirectories. |
/r | Exibe a saída no formato de relatório, CSV (valor separado por vírgula). |
/? | Exibe a ajuda no prompt de comando. |
Comentários
Todas as categorias e subcategorias podem ser especificadas pelo GUID ou pelo nome entre aspas (“). Os usuários podem ser especificados por SID ou nome.
Exemplos
Para recuperar a política de auditoria por usuário para a conta Convidado e exibir a saída para as categorias Sistema, Acompanhamento detalhado e Acesso a Objetos, digite:
auditpol /get /user:{S-1-5-21-1443922412-3030960370-963420232-51} /category:System,detailed Tracking,Object Access
Observação
Esse comando é útil em dois cenários. 1) Ao monitorar uma conta de usuário específica para atividades suspeitas, você pode usar o comando /get
para recuperar os resultados em categorias específicas usando uma política de inclusão para habilitar a auditoria adicional. 2) Se as configurações de auditoria em uma conta estiverem registrando vários eventos, mas supérfluos, você poderá usar o comando /get
para filtrar eventos desnecessários para essa conta com uma política de exclusão. Para obter uma lista de todas as categorias, use o comando auditpol /list /category
.
Para recuperar a política de auditoria por usuário para uma categoria e uma subcategoria específica, que relata as configurações inclusivas e exclusivas dessa subcategoria na categoria Sistema da conta Convidado, digite:
auditpol /get /user:guest /category:System /subcategory:{0ccee921a-69ae-11d9-bed3-505054503030}
Para exibir a saída no formato de relatório e incluir o nome do computador, o destino da política, a subcategoria, o GUID da subcategoria, as configurações de inclusão e as configurações de exclusão, digite:
auditpol /get /user:guest /category:detailed Tracking /r
Para recuperar a política para a categoria e as subcategorias do Sistema, que relata as configurações de política de categoria e subcategoria para a política de auditoria do sistema, digite:
auditpol /get /category:System /subcategory:{0ccee921a-69ae-11d9-bed3-505054503030}
Para recuperar a política para a categoria e as subcategorias de Acompanhamento detalhado no formato de relatório e incluir o nome do computador, o destino da política, a subcategoria, o GUID da subcategoria, as configurações de inclusão e as configurações de exclusão, digite:
auditpol /get /category:detailed Tracking /r
Para recuperar a política para duas categorias com as categorias especificadas como GUIDs, que relata todas as configurações de política de auditoria de todas as subcategorias em duas categorias, digite:
auditpol /get /category:{69979849-797a-11d9-bed3-505054503030},{69997984a-797a-11d9-bed3-505054503030} subcategory:{0ccee921a-69ae-11d9-bed3-505054503030}
Para recuperar o estado, habilitado ou desabilitado, da opção AuditBaseObjects, digite:
auditpol /get /option:AuditBaseObjects
Em que as opções disponíveis são AuditBaseObjects, AuditBaseOperations e FullprivilegeAuditing. Para recuperar o estado habilitado, desabilitado ou 2 da opção CrashOnAuditFail, digite:
auditpol /get /option:CrashOnAuditFail /r