Komenda auditpol set jest używana w systemach operacyjnych Windows do konfigurowania zasad audytu. Umożliwia administratorom określenie, które zdarzenia mają być rejestrowane w dzienniku zdarzeń systemowych, co jest kluczowe dla zapewnienia bezpieczeństwa i zgodności z przepisami. Dzięki tej komendzie można precyzyjnie zarządzać, jakie działania użytkowników i procesów są monitorowane, co pomaga w analizie incydentów bezpieczeństwa oraz w audytach bezpieczeństwa systemów.
auditpol set /
| Parametr | Opis |
|---|---|
| /category: | Określa kategorię audytu, na przykład logowanie, dostęp do plików itp. |
| /success: | Określa, czy sukces akcji ma być rejestrowany. |
| /failure: | Określa, czy niepowodzenie akcji ma być rejestrowane. |
| /r: | Określa nazwę audytu, który ma być zmodyfikowany. |
| /l | Wyświetla bieżące ustawienia audytu dla systemu. |
auditpol set /category:"Logon/Logoff" /success:enable /failure:enable
Powyższy przykład włącza audyt dla kategorii „Logon/Logoff”, co oznacza, że zarówno udane, jak i nieudane próby logowania będą rejestrowane w dzienniku zdarzeń. Jest to szczególnie przydatne w środowiskach, gdzie bezpieczeństwo dostępu do systemu jest kluczowe.
auditpol set /category:"Object Access" /success:enable /failure:disable
W tym przykładzie audyt dostępu do obiektów jest włączony tylko dla udanych prób, podczas gdy nieudane próby będą ignorowane. Może to być użyteczne w przypadku, gdy chcemy monitorować tylko skuteczne operacje na plikach lub innych obiektach systemowych.