auditpol get
適用於:Windows Server 2022、Windows Server 2019、Windows Server、2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012
擷取系統原則、每個使用者原則、稽核選項,以及稽核安全性描述項物件。
若要對每個使用者和系統原則執行 get 作業,您必須具有安全描述項中該物件集的讀取權限。 如果您具有 [管理稽核及安全性記錄檔] (SeSecurityPrivilege) 使用者權限,您也可以執行 get 作業。 但是,此權限允許執行整個 get 作業所不需要的額外存取。
語法
auditpol /get
[/user[:<username>|<{sid}>]]
[/category:*|<name>|<{guid}>[,:<name|<{guid}> ]]
[/subcategory:*|<name>|<{guid}>[,:<name|<{guid}> ]]
[/option:<option name>]
[/sd]
[/r]
參數
| 參數 | 描述 |
|---|---|
| /user | 顯示針對每個使用者稽核原則查詢的安全性主體。 必須指定 /category 或 /subcategory 參數。 使用者可以指定為安全性識別碼 (SID) 或名稱。 如果未指定使用者帳戶,則查詢系統稽核原則。 |
| /category | 由全域唯一識別碼 (GUID) 或名稱指定的一個或多個審核類別。 星號 (*) 可用來指出應該查詢所有稽核類別。 |
| /subcategory | 由 GUID 或名稱指定的一個或多個審核子類別。 |
| /sd | 擷取用於委派對審核策略的存取權限的安全描述項。 |
| /option | 擷取 CrashOnAuditFail、FullprivilegeAuditing、AuditBaseObjects 或 AuditBasedirectories 選項的現有原則。 |
| /r | 以逗號分隔值 (CSV) 格式顯示輸出報表。 |
| /? | 在命令提示字元顯示說明。 |
備註
可以由 GUID 或以引號 (") 括住的名稱來指定所有類別和子類別。 可以透過 SID 或名稱來指定使用者。
範例
若要擷取來賓帳戶的個別使用者稽核原則,並顯示系統、詳細追蹤和物件存取類別的輸出,請輸入:
auditpol /get /user:{S-1-5-21-1443922412-3030960370-963420232-51} /category:System,detailed Tracking,Object Access
注意
此命令在兩種情況下都很管用。 1) 監視特定使用者帳戶是否有可疑活動時,可以使用 /get 命令來擷取特定類別的結果,方法是使用包含原則來啟用其他稽核。 2) 如果帳戶上的稽核設定記錄許多但多餘的事件,您可以使用 /get 命令篩選出具有排除原則之帳戶的無關事件。 如需所有類別的清單,請使用 auditpol /list /category 命令。
若要擷取類別和特定子類別的個別使用者稽核原則,其中會在來賓帳戶的 [系統] 類別下報告該子類別的包含和排除設定,請輸入:
auditpol /get /user:guest /category:System /subcategory:{0ccee921a-69ae-11d9-bed3-505054503030}
若要以報表格式顯示輸出,並包含電腦名稱、原則目標、子類別、子類別 GUID、包含設定和排除設定,請輸入:
auditpol /get /user:guest /category:detailed Tracking /r
若要擷取系統類別和子類別的原則,其中會報告系統稽核原則的類別和子類別原則設定,請輸入:
auditpol /get /category:System /subcategory:{0ccee921a-69ae-11d9-bed3-505054503030}
若要以報表格式擷取詳細追蹤類別和子類別的原則,並包含電腦名稱、原則目標、子類別目錄 GUID、包含設定和排除設定,請輸入:
auditpol /get /category:detailed Tracking /r
若要擷取兩個類別的原則,並指定為 GUID 的類別,其中會報告兩個類別下所有子類別的所有稽核原則設定,請輸入:
auditpol /get /category:{69979849-797a-11d9-bed3-505054503030},{69997984a-797a-11d9-bed3-505054503030} subcategory:{0ccee921a-69ae-11d9-bed3-505054503030}
若要擷取 AuditBaseObjects 選項的啟用或停用狀態,請輸入:
auditpol /get /option:AuditBaseObjects
其中的可用選項為 AuditBaseObjects、AuditBaseOperations 和 FullprivilegeAuditing。 若要擷取已啟用、停用或 2 個 CrashOnAuditFail 選項,請輸入:
auditpol /get /option:CrashOnAuditFail /r