Table of contents
TOC
Inhaltsverzeichnis reduzieren
Inhaltsverzeichnis erweitern

Abrufen von auditpol

Corey Plett|Zuletzt aktualisiert: 05.12.2016
|
1 Mitwirkender

Gilt für: Windows Server2016, Windows Server2012 R2, Windows Server2012

Ruft die Systemrichtlinie, benutzerspezifische Richtlinie Überwachung Optionen und überwachen Security Descriptor-Objekts.

Die Syntax

auditpol /get 
[/user[:<username>|<{sid}>]]
[/category:*|<name>|<{guid}>[,:<name|<{guid}> ]]
[/subcategory:*|<name>|<{guid}>[,:<name|<{guid}> ]]
[/option:<option name>]
[/sd]
[/r]

Parameter

ParameterBeschreibung
/userZeigt den Sicherheitsprinzipal für den die benutzerbezogene Überwachungsrichtlinie abgefragt wird. Entweder der /category oder /subcategory Parameter muss angegeben werden. Der Benutzer kann den Namen oder eine Sicherheits-ID (SID) angegeben werden. Wenn kein Benutzerkonto angegeben ist, wird die Systemüberwachungsrichtlinie abgefragt.
/categoryEine oder mehrere Überwachungskategorien global eindeutiger Bezeichner (GUID) oder Namen angegeben ist. Ein Sternchen (*) kann verwendet werden, um anzugeben, dass alle Überwachungskategorien abgefragt werden soll.
/subcategoryEine oder mehrere überwachungsunterkategorien GUID oder Namen angegeben ist.
/sdRuft die Sicherheits-ID verwendet, um den Zugriff auf die Überwachungsrichtlinie delegieren.
/OptionRuft die vorhandene Richtlinie für die CrashOnAuditFail, FullprivilegeAuditing, AuditBaseObjects oder AuditBasedirectories Optionen ab.
/rZeigt die Ausgabe im Berichtsformat, durch Kommata getrennte Werte (CSV).
/?Zeigt die Hilfe an der Eingabeaufforderung.

Hinweise

Alle Kategorien und Unterkategorien können durch die GUID oder den Namen, die Anführungszeichen gesetzte angegeben werden. Benutzer können durch die SID oder angegeben werden. Für alle Get-Vorgänge für die pro-Benutzer und Systemrichtlinien müssen Sie Berechtigungen für das Objekt, legen Sie in der Sicherheitsbeschreibung gelesen haben. Sie können auch Get-Vorgänge ausführen, indem Sie mit der Verwalten von überwachungs- und Sicherheitsprotokollen Benutzerrecht (SeSecurityPrivilege). Allerdings kann diese Berechtigung zusätzlichen Zugriff, die nicht zum Ausführen des Get-Vorgangs erforderlich ist.

Beispiele für

Beispiele für die benutzerbezogene Überwachungsrichtlinie

Die benutzerbezogene Überwachungsrichtlinie für das Gastkonto abrufen und Anzeigen der Ausgabe für das System, detaillierte Überwachung, und geben Sie den Zugriff auf Objekte Kategorien:

auditpol /get /user:{S-1-5-21-1443922412-3030960370-963420232-51} /category:"System","detailed Tracking","Object Access"
Hinweis

Dieser Befehl ist in zwei Szenarien hilfreich. Wenn ein bestimmtes Benutzerkonto auf verdächtige Aktivitäten zu überwachen, können Sie den Befehl /get, zum Abrufen der Ergebnisse in bestimmten Kategorien, mithilfe einer Richtlinie für Aufnahme zusätzliche Überwachung aktivieren. Oder, wenn zahlreiche aber überflüssiger Ereignisse Überwachungseinstellungen auf einem Konto anmelden, können Sie den Befehl /get verwenden, um irrelevante Ereignisse für das Konto mit einer Ausschlussrichtlinie herauszufiltern. Verwenden Sie eine Liste aller Kategorien, die Auditpol//list /category Befehl. Rufen Sie die benutzerbezogene Überwachungsrichtlinie für eine Kategorie und eine Unterkategorie aus bestimmten, die die inklusiven und exklusiven Einstellungen für die Unterkategorie unter der Kategorie "System" für das Gastkonto meldet, geben Sie Folgendes ein:

auditpol /get /user:guest /category:"System" /subcategory:{0ccee921a-69ae-11d9-bed3-505054503030}

Geben zum Anzeigen der Ausgabe im Berichtsformat und den Computernamen, Richtlinie Ziel, Unterkategorie, Unterkategorie GUID, Einstellungen für Aufnahme oder Ausschluss-Einstellungen:

auditpol /get /user:guest /category:detailed Tracking" /r

Beispiele für die Überwachungsrichtlinie des Systems

Rufen Sie die Richtlinie für die System-Kategorien und Unterkategorien, die die Kategorie und Unterkategorie Einstellungen für die Überwachungsrichtlinie des Systems meldet, geben Sie Folgendes ein:

auditpol /get /category:"System" /subcategory:{0ccee921a-69ae-11d9-bed3-505054503030}

Zum Abrufen der Richtlinie für die detaillierte Überwachung Kategorien und Unterkategorien im Berichtsformat, und fügen Sie den Computernamen, Richtlinie Ziel, Unterkategorie, Unterkategorie GUID, Einstellungen für Aufnahme und Einstellungen ausschließen, Typ:

auditpol /get /category:"detailed Tracking" /r

Rufen Sie die Richtlinie für zwei Kategorien mit den Kategorien angegeben als GUIDs, die alle Überwachungsrichtlinieneinstellungen für alle Unterkategorien meldet in zwei Kategorien, Typ:

auditpol /get /category:{69979849-797a-11d9-bed3-505054503030},{69997984a-797a-11d9-bed3-505054503030} subcategory:{0ccee921a-69ae-11d9-bed3-505054503030}

Beispiele für die Optionen für die Überwachung

Geben Sie Folgendes ein, um den Zustand, entweder aktiviert oder deaktiviert ist, der Option AuditBaseObjects abzurufen:

auditpol /get /option:AuditBaseObjects
Hinweis

Die verfügbaren Optionen sind AuditBaseObjects, AuditBaseOperations und FullprivilegeAuditing. Geben zum Abrufen des Zustands aktiviert deaktiviert, oder der CrashOnAuditFail Option 2:

auditpol /get /option:CrashOnAuditFail /r

Weitere Verweise

Befehlszeilensyntax Schlüssel

© 2017 Microsoft