Windows-Server-2003
如何找出誰刪除了事件查看器日誌
在 Windows Server 2003 上,有人刪除了安全和應用程序日誌。
我想知道日誌什麼時候被刪除,如果可能的話,這個罪犯是誰。:)
在 Windows 2003 中,當清除安全日誌時,會自動向其中寫入一個新事件,其中包含您要查找的資訊。
例子:
Event ID: 517 Source: Security The audit log was cleared Primary User Name: SYSTEM Primary Domain: NT AUTHORITY Primary Logon ID: (0x0,0x3E7) Client User Name: User's Name Client Domain: CompanyDomain Client Logon ID: (0x0,0x493DDA90)
此事件記錄表明審核日誌已被清除。無論審計策略如何,都會始終記錄此事件。即使關閉審核也會記錄下來。
除此之外,您還必須擁有已經到位的對象審計策略,並配置為有機會獲得系統使用者所採取操作的額外日誌。