auditpol get
Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server, 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Recupera la directiva del sistema, la directiva por usuario, las opciones de auditoría y el objeto descriptor de seguridad de auditoría.
Para realizar operaciones get en las directivas por usuario y del sistema, debe tener permiso de lectura para ese objeto establecido en el descriptor de seguridad. También puede realizar operaciones get si tiene el derecho de usuario Administrar auditoría y registro de seguridad (SeSecurityPrivilege). Sin embargo, este derecho permite el acceso adicional que no se necesita para realizar las operaciones generales get.
Sintaxis
auditpol /get
[/user[:<username>|<{sid}>]]
[/category:*|<name>|<{guid}>[,:<name|<{guid}> ]]
[/subcategory:*|<name>|<{guid}>[,:<name|<{guid}> ]]
[/option:<option name>]
[/sd]
[/r]
Parámetros
| Parámetro | Descripción |
|---|---|
| /user | Muestra la entidad de seguridad para la que se consulta la directiva de auditoría por usuario. Se debe especificar el parámetro /category o /subcategory. El usuario puede especificarse como un identificador de seguridad (SID) o un nombre. Si no se especifica ninguna cuenta de usuario, se consulta la directiva de auditoría del sistema. |
| /categoría | Una o varias categorías de auditoría especificadas por el identificador único global (GUID) o el nombre. Se puede usar un asterisco (*) para indicar que se deben consultar todas las categorías de auditoría. |
| /subcategory | Una o varias subcategorías de auditoría especificadas por GUID o nombre. |
| /sd | Recupera el descriptor de seguridad usado para delegar el acceso a la directiva de auditoría. |
| /option | Recupera la directiva existente para las opciones CrashOnAuditFail, FullprivilegeAuditing, AuditBaseObjects o AuditBasedirectories. |
| /r | Muestra la salida en formato de informe, valor separado por comas (CSV). |
| /? | Muestra la ayuda en el símbolo del sistema. |
Comentarios
Todas las categorías y subcategorías se pueden especificar mediante el GUID o el nombre entre comillas ("). Los usuarios pueden especificarse por SID o nombre.
Ejemplos
Para recuperar la directiva de auditoría por usuario de la cuenta de invitado y mostrar la salida de las categorías Sistema, Seguimiento detallado y Acceso a objetos, escriba:
auditpol /get /user:{S-1-5-21-1443922412-3030960370-963420232-51} /category:System,detailed Tracking,Object Access
Nota:
Este comando es útil en dos escenarios. 1) Al supervisar una cuenta de usuario específica para actividades sospechosas, puede usar el comando /get para recuperar los resultados en categorías específicas mediante una directiva de inclusión para habilitar la auditoría adicional. 2) Si la configuración de auditoría de una cuenta registra numerosos eventos, pero superfluos, puede usar el comando /get para filtrar los eventos extraños de esa cuenta con una directiva de exclusión. Para obtener una lista de todas las categorías, use el comando auditpol /list /category.
Para recuperar la directiva de auditoría por usuario de una categoría y una subcategoría determinada, que informa de la configuración inclusiva y exclusiva de esa subcategoría en la categoría de sistema de la cuenta de invitado, escriba:
auditpol /get /user:guest /category:System /subcategory:{0ccee921a-69ae-11d9-bed3-505054503030}
Para mostrar la salida en formato de informe e incluir el nombre del equipo, el destino de la directiva, la subcategoría, el GUID de subcategoría, la configuración de inclusión y la configuración de exclusión, escriba:
auditpol /get /user:guest /category:detailed Tracking /r
Para recuperar la directiva de la categoría y subcategorías del sistema, que informa de la configuración de la directiva de categoría y subcategoría para la directiva de auditoría del sistema, escriba:
auditpol /get /category:System /subcategory:{0ccee921a-69ae-11d9-bed3-505054503030}
Para recuperar la directiva de las subcategorías y categorías de seguimiento detalladas en formato de informe e incluir el nombre del equipo, el destino de la directiva, la subcategoría, el GUID de subcategoría, la configuración de inclusión y la configuración de exclusión, escriba:
auditpol /get /category:detailed Tracking /r
Para recuperar la directiva de dos categorías con las categorías especificadas como GUID, que notifica toda la configuración de directiva de auditoría de todas las subcategorías en dos categorías, escriba:
auditpol /get /category:{69979849-797a-11d9-bed3-505054503030},{69997984a-797a-11d9-bed3-505054503030} subcategory:{0ccee921a-69ae-11d9-bed3-505054503030}
Para recuperar el estado, ya sea habilitado o deshabilitado, de la opción AuditBaseObjects, escriba:
auditpol /get /option:AuditBaseObjects
En este caso, las opciones disponibles son AuditBaseObjects, AuditBaseOperations y FullprivilegeAuditing. Para recuperar el estado habilitado, deshabilitado o 2 de la opción CrashOnAuditFail, escriba:
auditpol /get /option:CrashOnAuditFail /r