如何找出誰刪除了事件查看器日誌

在 Windows Server 2003 上，有人刪除了安全和應用程序日誌。

我想知道日誌什麼時候被刪除，如果可能的話，這個罪犯是誰。:)

在 Windows 2003 中，當清除安全日誌時，會自動向其中寫入一個新事件，其中包含您要查找的資訊。

例子：

Event ID: 517
Source: Security

The audit log was cleared 
   Primary User Name:  SYSTEM
   Primary Domain: NT AUTHORITY
   Primary Logon ID:   (0x0,0x3E7)
   Client User Name:   User's Name
   Client Domain:  CompanyDomain
   Client Logon ID:    (0x0,0x493DDA90)

來自微軟的更多資訊

此事件記錄表明審核日誌已被清除。無論審計策略如何，都會始終記錄此事件。即使關閉審核也會記錄下來。

除此之外，您還必須擁有已經到位的對象審計策略，並配置為有機會獲得系統使用者所採取操作的額外日誌。

引用自：https://serverfault.com/questions/743575