Windows-Server-2003

如何找出誰刪除了事件查看器日誌

  • December 28, 2016

在 Windows Server 2003 上,有人刪除了安全和應用程序日誌。

我想知道日誌什麼時候被刪除,如果可能的話,這個罪犯是誰。:)

在 Windows 2003 中,當清除安全日誌時,會自動向其中寫入一個新事件,其中包含您要查找的資訊。

例子:

Event ID: 517
Source: Security

The audit log was cleared 
   Primary User Name:  SYSTEM
   Primary Domain: NT AUTHORITY
   Primary Logon ID:   (0x0,0x3E7)
   Client User Name:   User's Name
   Client Domain:  CompanyDomain
   Client Logon ID:    (0x0,0x493DDA90)

來自微軟的更多資訊

此事件記錄表明審核日誌已被清除。無論審計策略如何,都會始終記錄此事件。即使關閉審核也會記錄下來。

除此之外,您還必須擁有已經到位的對象審計策略,並配置為有機會獲得系統使用者所採取操作的額外日誌。

引用自:https://serverfault.com/questions/743575