Uso: AuditPol /set /user[: | ][/include][/exclude /category: | ,: | . /success: | ][/failure: | /subcategory: | ,: | . /success: ...

Uso: AuditPol /set        [/user[:|<{sid}>][/include][/exclude]]        [/category:|<{guid}>[,:|<{guid}>...]]        [/success:|][/failure:|]        [/subcategory:|<{guid}>[,:|<{guid}>...]]        [/success:|][/failure:|]        [/option: /value:|] 
 Este comando establece la directiva de auditoría actual. 
 Comandos   /?               Ayuda (contextual)   /user            Entidad de seguridad para la que se establece la directiva                    de auditoría por usuario especificada en la categoría o                    subcategoría. Debe especificarse la opción /category o                     /subcategory en forma de SID o de nombre.   /include         Se especifica junto con /user; indica que la directiva                    por usuario del usuario generará una auditoría aunque no se                    especifique en la directiva de auditoría del sistema. Es                    la opción predeterminada y se aplica automáticamente si no                    se especifica explícitamente la opción /include o /exclude.   /exclude         Se especifica junto con /user; indica que la directiva                    por usuario del usuario provocará la supresión de la                    auditoría con independencia de la directiva de auditoría                    del sistema. Esta configuración no se aplica a los usuarios                    que son miembros del grupo local Administradores.   /category        Una o varias categorías de auditoría especificadas mediante                    un GUID o un nombre. Si no se especifica ningún usuario, se                    establece la directiva del sistema.   /subcategory     Una o varias subcategorías de auditoría especificadas                    mediante un GUID o un nombre. Si no se especifica ningún                    usuario, se establece la directiva del sistema.   /success         Especifica la auditoría de aciertos. Es la opción                    predeterminada y se aplica automáticamente si no se                    especifica explícitamente la opción /success o /failure.                    Este valor debe usarse con un parámetro que indique si se                    debe habilitar o deshabilitar la opción.   /failure         Especifica la auditoría de errores. Esta opción debe usarse                    con un parámetro que indique si se debe habilitar o                    deshabilitar el valor.   /option          Establece la directiva de auditoría para CrashOnAuditFail,                    FullPrivilegeAuditing, AuditBaseObjects o                    AuditBaseDirectories.   /sd              Establece el descriptor de seguridad que se usa para delegar                    el acceso a la directiva de auditoría. El descriptor de                    seguridad debe especificarse mediante SDDL. El descriptor de                    seguridad debe tener una DACL. 
 Ejemplo:   auditpol /set /user:dominio\usuario /Category:"Sistema" /success:enable    /include   auditpol /set /subcategory:{0cce9212-69ae-11d9-bed3-505054503030}    /failure:disable   auditpol /set /option:CrashOnAuditFail /value:enable   auditpol /set /sd:D:(A;;DCSWRPDTRC;;;BA)(A;;DCSWRPDTRC;;;SY)