AUDITPOL — управление политиками аудита безопасности Windows

На чтение 8 мин Просмотров 113 Опубликовано
Команда AUDITPOL настраивает политику аудита событий безопасности Windows из командной строки. Позволяет включить, отключить и просмотреть аудит для любой категории событий.

Команда AUDITPOL управляет политикой аудита безопасности Windows непосредственно из командной строки. С её помощью администратор включает или отключает регистрацию событий в журнале безопасности: входы в систему, доступ к файлам, изменение политик, использование привилегий. Инструмент позволяет настраивать аудит точнее, чем через групповые политики, — на уровне отдельных подкатегорий.

Команда Auditpol

Содержание
  1. Синтаксис команды AUDITPOL
  2. Ключи и параметры
  3. Примеры использования
  4. Просмотр всех текущих политик аудита
  5. Включение аудита входов в систему
  6. Включение аудита доступа к объектам
  7. Отключение аудита изменения политик
  8. Резервная копия политики аудита
  9. Просмотр политики в CSV для скрипта
  10. Включение расширенного аудита для конкретной подкатегории через GUID
  11. Частые ошибки и решения
  12. Когда применять, а когда нет
  13. FAQ
  14. Чем AUDITPOL отличается от настройки аудита через secpol.msc?
  15. Как проверить, включён ли аудит для конкретного события?
  16. Влияет ли AUDITPOL на производительность системы?
  17. Как применить одинаковую политику аудита на нескольких компьютерах?
  18. Можно ли включить аудит только для определённого пользователя?

Синтаксис команды AUDITPOL

AUDITPOL /GET [/USER[:имя_пользователя]] [/CATEGORY:имя_категории | /SUBCATEGORY:имя_или_GUID] [/OPTION:имя_параметра] [/SD] [/R]

AUDITPOL /SET [/USER[:имя_пользователя]] [/CATEGORY:имя_категории | /SUBCATEGORY:имя_или_GUID] [/SUCCESS:enable|disable] [/FAILURE:enable|disable] [/OPTION:имя /VALUE:{enable|disable|1|0}]

AUDITPOL /LIST [/USER] [/CATEGORY | /SUBCATEGORY:имя] [/V] [/R]

AUDITPOL /BACKUP /FILE:путь_к_файлу
AUDITPOL /RESTORE /FILE:путь_к_файлу
AUDITPOL /CLEAR [/Y]
AUDITPOL /REMOVE [/USER:имя_пользователя] [/ALL]

Плейсхолдеры:

  • имя_категории — системное имя категории аудита, например "Logon/Logoff" или "Object Access"
  • имя_или_GUID — имя подкатегории или её GUID, например "Logon"
  • * — все категории или подкатегории

Ключи и параметры

Ключ Описание Пример
/GET /CATEGORY:* Показывает текущие настройки аудита для всех категорий auditpol /get /category:*
/GET /SUBCATEGORY:"имя" Показывает настройки аудита конкретной подкатегории auditpol /get /subcategory:"Logon"
/SET /SUBCATEGORY:"имя" /SUCCESS:enable Включает аудит успешных событий для подкатегории auditpol /set /subcategory:"Logon" /success:enable
/SET /SUBCATEGORY:"имя" /FAILURE:enable Включает аудит неудачных событий для подкатегории auditpol /set /subcategory:"Logon" /failure:enable
/SET /SUBCATEGORY:"имя" /SUCCESS:disable /FAILURE:disable Отключает аудит успешных и неудачных событий auditpol /set /subcategory:"File System" /success:disable /failure:disable
/LIST /CATEGORY Перечисляет все доступные категории аудита auditpol /list /category
/LIST /SUBCATEGORY:"имя" Перечисляет все подкатегории указанной категории auditpol /list /subcategory:"Logon/Logoff"
/BACKUP /FILE:путь Сохраняет текущую политику аудита в CSV-файл auditpol /backup /file:C:\audit_backup.csv
/RESTORE /FILE:путь Восстанавливает политику аудита из CSV-файла auditpol /restore /file:C:\audit_backup.csv
/CLEAR Сбрасывает все политики аудита до состояния «не задано» auditpol /clear /y
/R Выводит результат в CSV-формате (удобно для парсинга) auditpol /get /category:* /r

Примеры использования

Просмотр всех текущих политик аудита

Выводит состояние каждой категории и подкатегории: включён ли аудит успехов, неудач или всего вместе.

auditpol /get /category:*

Столбцы вывода: имя подкатегории, значение для успешных событий (Success), значение для неудачных (Failure). Статус «No Auditing» означает отсутствие аудита.

Включение аудита входов в систему

Регистрирует как успешные, так и неудачные попытки входа — необходимый минимум для анализа несанкционированного доступа.

auditpol /set /subcategory:"Logon" /success:enable /failure:enable

После включения события появятся в журнале безопасности (Event ID 4624 — успешный вход, 4625 — неудача).

Включение аудита доступа к объектам

Позволяет отслеживать, кто и когда обращался к файлам и папкам. Требует также настройки SACL на конкретных объектах.

auditpol /set /subcategory:"File System" /success:enable /failure:enable

Без настройки SACL (системных ACL) на папках/файлах события в журнале не появятся, даже при включённой политике.

Отключение аудита изменения политик

Снижает нагрузку на журнал безопасности, если аудит политик генерирует избыточный поток событий.

auditpol /set /subcategory:"Security State Change" /success:disable /failure:disable

Резервная копия политики аудита

Сохраняет текущие настройки перед изменениями или для применения на других машинах.

auditpol /backup /file:C:\Audit\audit_policy.csv

Файл CSV содержит все подкатегории с их статусами. Восстановить можно командой auditpol /restore /file:C:\Audit\audit_policy.csv.

Просмотр политики в CSV для скрипта

Удобно для автоматизации: вывод в машиночитаемом формате легко парсить скриптом.

auditpol /get /category:* /r > C:\audit_current.csv

Включение расширенного аудита для конкретной подкатегории через GUID

Если имя подкатегории содержит нестандартные символы или нужно работать в скриптах с твёрдыми идентификаторами, используйте GUID.

auditpol /set /subcategory:{0CCE9215-69AE-11D9-BED3-505054503030} /failure:enable

Список GUID всех подкатегорий можно получить через auditpol /list /subcategory:* /r.

Частые ошибки и решения

Ошибка / симптом Причина Решение
«Отказано в доступе» при любой операции CMD запущен без прав администратора Запустить командную строку от имени администратора
Политика включена, но события не появляются в журнале Для аудита объектов (файлы, реестр) также нужно настроить SACL на конкретных объектах Открыть свойства папки/файла → вкладка «Безопасность» → «Дополнительно» → «Аудит» → добавить запись
Настройки AUDITPOL сбрасываются GPO Групповая политика перезаписывает локальные настройки аудита при применении Настраивать аудит через GPO (Computer Configuration → Security Settings → Advanced Audit Policy) вместо локальной команды
Неизвестная подкатегория — ошибка при вводе имени Имя подкатегории зависит от языка системы или написано с ошибкой Получить точные имена: auditpol /list /subcategory:* или использовать GUID подкатегории
Журнал безопасности переполняется после включения аудита Включены слишком широкие категории (например, «Object Access» на файловые операции) Включать аудит точечно для конкретных подкатегорий; увеличить максимальный размер журнала безопасности в Event Viewer

Когда применять, а когда нет

Команда AUDITPOL доступна только при правах администратора и работает начиная с Windows Vista/Server 2008, где появилась расширенная политика аудита на уровне подкатегорий. На компьютерах, входящих в домен, локальные настройки AUDITPOL могут быть перезаписаны групповыми политиками домена — используйте GPO как основной инструмент в доменной среде. Команда не управляет аудитом на удалённых машинах напрямую; для этого применяйте auditpol /backup в сочетании с psexec или WinRM. В PowerShell аналогичный функционал доступен через командлет Get-SystemAuditPolicy из модуля SecurityPolicyDsc или напрямую через cmd /c auditpol.

FAQ

Чем AUDITPOL отличается от настройки аудита через secpol.msc?

AUDITPOL управляет расширенной политикой аудита на уровне подкатегорий (Advanced Audit Policy), тогда как secpol.msc в разделе «Локальные политики → Политика аудита» работает с базовыми категориями. Расширенная политика имеет приоритет над базовой. Результат обоих методов отражается в одном и том же журнале безопасности.

Как проверить, включён ли аудит для конкретного события?

Выполните auditpol /get /subcategory:"Logon" — в выводе будут столбцы «Включение» и «Исключение» с值ениями «Success», «Failure», «Success and Failure» или «No Auditing».

Влияет ли AUDITPOL на производительность системы?

Включение широкого аудита (особенно «File System», «Registry», «Process Tracking») увеличивает нагрузку на диск и объём журнала безопасности. На высоконагруженных серверах рекомендуется включать только необходимые подкатегории и регулярно архивировать журнал.

Как применить одинаковую политику аудита на нескольких компьютерах?

Выполните auditpol /backup /file:policy.csv на эталонной машине. Затем скопируйте файл на целевые компьютеры и выполните auditpol /restore /file:policy.csv. В доменной среде удобнее распространять политику через GPO.

Можно ли включить аудит только для определённого пользователя?

Да, для пользовательской политики аудита используйте ключ /USER: auditpol /set /user:DOMAIN\username /subcategory:"Logon" /success:enable. Пользовательская политика применяется поверх системной для событий, связанных с этим аккаунтом.

Похожие записи:

  1. CheckNetIsolation — управление loopback-доступом приложений UWP
  2. CHKNTFS — управление проверкой диска при загрузке Windows
  3. CLEARMGR — запуск очистки диска Windows из командной строки
  4. COMPACT — сжатие и распаковка файлов NTFS в CMD
  5. DevCon — управление устройствами Windows из командной строки
  6. DISKPART — управление разделами и дисками из командной строки
  7. DISM — управление образами Windows: синтаксис и примеры
  8. FSUTIL — управление файловой системой NTFS из командной строки
  9. OPENFILES — просмотр и закрытие открытых файлов в сети из CMD
  10. PKGMGR — управление пакетами Windows из командной строки
Оцените статью
( Пока оценок нет )
MW10
Добавить комментарий

Нажимая на кнопку "Отправить комментарий", я даю согласие на обработку персональных данных и принимаю политику конфиденциальности.

© 2026 Инструкции по работе и настройке операционной системы Windows.

Вся информация и уроки, представленные на сайте, были созданы специально для этого сайта, а права на них защищены. Частичное или полное копирование и дальнейшее использование материалов ресурса запрещено!

Сайт не является официальным ресурсом компании © Майкрософт и носит исключительно информационный характер по работе в Windows.
Сайт использует файлы cookie, это необходимо для его стабильной работы и анализа трафика.