使用批处理文件启用“审计过程跟踪”

使用批处理文件启用“审计过程跟踪”

我正在跟进这个帖子并尝试启用审计过程追踪

本地安全策略 > 本地策略 > 审核策略 > 双击审计过程追踪使能够

我希望有一种更快捷的方法来完成它(最好是一个批处理文件)。

我看了看ntrights但似乎无法弄清楚如何以启用它。


我只需要批处理文件来启用“成功”审核。

答案1

我也找了好久,终于找到答案了!

检查当前状态:

auditpol /get /subcategory:"Process Creation"

下一行将进行更改。它将进程创建设置为已启用。

auditpol /set /subcategory:"Process Creation"

再次检查状态,您将看到变化。

或者,您可以更改所有“详细跟踪”策略,因为“流程创建”是“详细跟踪”的子类别。如下所示:

auditpol /set /category:"Detailed Tracking"

感谢 Doug Deden 向我提供 auditpol 命令。

相关内容