auditpol get
Область применения: Windows Server 2022, Windows Server 2019, Windows Server, 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Извлекает системную политику, политику на пользователя, параметры аудита и объект дескриптора безопасности аудита.
Для выполнения операций получения операций с политиками пользователя и системы необходимо иметь разрешение на чтение для этого объекта, заданного в дескрипторе безопасности. Вы также можете выполнять операции получения , если у вас есть право пользователя "Управление аудитом и безопасностью " (SeSecurityPrivilege). Однако это право позволяет получить дополнительный доступ, который не требуется для выполнения общих операций получения .
Синтаксис
auditpol /get
[/user[:<username>|<{sid}>]]
[/category:*|<name>|<{guid}>[,:<name|<{guid}> ]]
[/subcategory:*|<name>|<{guid}>[,:<name|<{guid}> ]]
[/option:<option name>]
[/sd]
[/r]
Параметры
| Параметр | Описание |
|---|---|
| /user | Отображает субъект безопасности, для которого запрашивается политика аудита для каждого пользователя. Необходимо указать параметр /category или /subcategory. Пользователь может быть указан как идентификатор безопасности (SID) или имя. Если учетная запись пользователя не указана, политика аудита системы запрашивается. |
| /по категориям | Одна или несколько категорий аудита, указанных глобально уникальным идентификатором (GUID) или именем. Звездочка (*) может использоваться для указания того, что все категории аудита должны запрашиваться. |
| /Подкатегории | Одна или несколько подкатегорий аудита, указанных GUID или именем. |
| /Sd | Извлекает дескриптор безопасности, используемый для делегирования доступа к политике аудита. |
| /Параметр | Извлекает существующую политику для параметров CrashOnAuditFail, FullprivilegeAuditing, AuditBaseObjects или AuditBasedirectory. |
| /r | Отображает выходные данные в формате отчета, разделенное запятыми значение (CSV). |
| /? | Отображение справки в командной строке. |
Замечания
Все категории и подкатегории можно указать с помощью GUID или имени, заключенного кавычками (). Пользователи могут быть указаны по идентификатору безопасности или имени.
Примеры
Чтобы получить политику аудита на пользователя для гостевой учетной записи и отобразить выходные данные для системных, подробных категорий отслеживания и доступа к объектам, введите:
auditpol /get /user:{S-1-5-21-1443922412-3030960370-963420232-51} /category:System,detailed Tracking,Object Access
Примечание.
Эта команда полезна в двух сценариях. 1) При мониторинге определенной учетной записи пользователя для подозрительного действия можно использовать /get команду для получения результатов в определенных категориях с помощью политики включения для включения дополнительного аудита. 2) Если параметры аудита в учетной записи регистрируют множество, но лишние события, можно использовать /get команду для фильтрации лишних событий для этой учетной записи с политикой исключения. Для списка всех категорий используйте auditpol /list /category команду.
Чтобы получить политику аудита для каждой пользователя для категории и определенной подкатегории, которая сообщает о инклюзивном и эксклюзивном параметрах для этой подкатегории в категории "Система" для гостевой учетной записи, введите:
auditpol /get /user:guest /category:System /subcategory:{0ccee921a-69ae-11d9-bed3-505054503030}
Чтобы отобразить выходные данные в формате отчета и включить имя компьютера, целевой объект политики, подкатегорию, GUID подкатегории, параметры включения и параметры исключения, введите:
auditpol /get /user:guest /category:detailed Tracking /r
Чтобы получить политику для категории системы и подкатегории, которая сообщает параметры категории и подкатегории политики для политики аудита системы, введите:
auditpol /get /category:System /subcategory:{0ccee921a-69ae-11d9-bed3-505054503030}
Чтобы получить политику для подробной категории отслеживания и подкатегории в формате отчета и включить имя компьютера, целевой объект политики, подкатегорию GUID, параметры включения и параметры исключения, введите:
auditpol /get /category:detailed Tracking /r
Чтобы получить политику для двух категорий с категориями, указанными в качестве идентификаторов GUID, который сообщает все параметры политики аудита всех подкатегорий под двумя категориями, введите:
auditpol /get /category:{69979849-797a-11d9-bed3-505054503030},{69997984a-797a-11d9-bed3-505054503030} subcategory:{0ccee921a-69ae-11d9-bed3-505054503030}
Чтобы получить состояние, включено или отключено, параметра AuditBaseObjects введите:
auditpol /get /option:AuditBaseObjects
Где доступны варианты AuditBaseObjects, AuditBaseOperations и FullprivilegeAuditing. Чтобы получить состояние включено, отключено или 2 параметра CrashOnAuditFail, введите:
auditpol /get /option:CrashOnAuditFail /r