auditpol get
适用范围:Windows Server 2022、Windows Server 2019、Windows Server、2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012
检索系统策略、每用户策略、审核选项和审核安全描述符对象。
若要对每用户策略和系统策略执行“获取”操作,你必须在安全描述符中设置对该对象的“读取”权限。 如果你拥有“管理审核和安全日志”(SeSecurityPrivilege) 用户权限,则也可以执行“获取”操作。 但是,此权限还允许执行整体获取操作不需要的其他访问权限。
语法
auditpol /get
[/user[:<username>|<{sid}>]]
[/category:*|<name>|<{guid}>[,:<name|<{guid}> ]]
[/subcategory:*|<name>|<{guid}>[,:<name|<{guid}> ]]
[/option:<option name>]
[/sd]
[/r]
参数
参数 | 说明 |
---|---|
/user | 显示为其查询每用户审核策略的安全主体。 必须指定 /category 或 /subcategory 参数。 可以将用户指定为安全标识符 (SID) 或名称。 如果未指定用户帐户,则查询系统审核策略。 |
/category | 按全局唯一标识符 (GUID) 或名称指定的一个或多个审核类别。 星号 (*) 可用于指示应查询所有审核类别。 |
/subcategory | 按 GUID 或名称指定的一个或多个审核子类别。 |
/sd | 检索用于委派对审核策略的访问权限的安全描述符。 |
/option | 为 CrashOnAuditFail、FullprivilegeAuditing、AuditBaseObjects 或 AuditBasedirectories 选项检索现有策略。 |
/r | 以逗号分隔值 (CSV) 的报表格式显示输出。 |
/? | 在命令提示符下显示帮助。 |
注解
所有类别和子类别都可以由 GUID 指定,或者名称用引号 (“) 引起来。 用户可以由 SID 或名称指定。
示例
若要检索来宾帐户的每用户审核策略并显示“系统”、“详细跟踪”和“对象访问”类别的输出,请键入:
auditpol /get /user:{S-1-5-21-1443922412-3030960370-963420232-51} /category:System,detailed Tracking,Object Access
注意
此命令在以下两种情况下很有用。 1) 监视特定用户帐户是否有可疑活动时,可以使用 /get
命令通过包含策略检索特定类别中的结果,以启用其他审核。 2) 如果帐户上的审核设置记录了大量但多余的事件,则可以使用 /get
命令通过排除策略筛选出该帐户的无关事件。 对于所有类别的列表,请使用 auditpol /list /category
命令。
若要检索类别和特定子类别的每用户审核策略(该策略报告来宾帐户“系统”类别下该子类别的包含和排除设置),请键入:
auditpol /get /user:guest /category:System /subcategory:{0ccee921a-69ae-11d9-bed3-505054503030}
若要以报表格式显示输出并包括计算机名称、策略目标、子类别、子类别 GUID、包含设置和排除设置,请键入:
auditpol /get /user:guest /category:detailed Tracking /r
若要检索“系统”类别和子类别的策略(该策略报告系统审核策略的类别和子类别策略设置),请键入:
auditpol /get /category:System /subcategory:{0ccee921a-69ae-11d9-bed3-505054503030}
若要以报表格式检索“详细跟踪”类别和子类别的策略并包括计算机名称、策略目标、子类别、子类别 GUID、包含设置和排除设置,请键入:
auditpol /get /category:detailed Tracking /r
若要检索两个指定为 GUID 的类别的策略(该策略报告两个类别下所有子类别的所有审核策略设置),请键入:
auditpol /get /category:{69979849-797a-11d9-bed3-505054503030},{69997984a-797a-11d9-bed3-505054503030} subcategory:{0ccee921a-69ae-11d9-bed3-505054503030}
若要检索 AuditBaseObjects 选项的状态(已启用或已禁用),请键入:
auditpol /get /option:AuditBaseObjects
其中,可用选项为 AuditBaseObjects、AuditBaseOperations 和 FullprivilegeAuditing。 若要检索 CrashOnAuditFail 选项的状态(已启用、已禁用或两者),请键入:
auditpol /get /option:CrashOnAuditFail /r