我的 Windows 10 台式机意外关机。我没有看到它发生,但它随机离线。当我重新启动它时,根据事件日志,第一个事件是“日志清除”。事件的详细信息如下。它是由用户 S-1-5-18 执行的,我相信他是系统用户?我没有在其他地方看到它,但组策略编辑器中有一些记录引用了类似的用户:S-1-5-83 和 S-1-5-21。
清除系统日志后,又有 6 个日志清除事件。其中 5 个与 VisualSVN 服务器相关,1 个与 RemoteDesktopSessionManager/Admin 日志文件相关。
我最近在此桌面上执行了系统恢复操作,将操作系统克隆到新硬盘上,因此不确定这些用户是否与此有关?无论如何,清除系统日志似乎很可疑,并且使我无法弄清楚计算机随机关闭的原因。我检查了 Windows 更新历史记录,重新启动与任何更新操作无关。
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Eventlog" Guid="{fc65ddd8-d6ef-4962-83d5-6e5cfe9ce148}" />
<EventID>104</EventID>
<Version>0</Version>
<Level>4</Level>
<Task>104</Task>
<Opcode>0</Opcode>
<Keywords>0x8000000000000000</Keywords>
<TimeCreated SystemTime="2022-02-22T02:46:19.2450542Z" />
<EventRecordID>123051</EventRecordID>
<Correlation />
<Execution ProcessID="1456" ThreadID="11800" />
<Channel>System</Channel>
<Computer>**********</Computer>
<Security UserID="S-1-5-18" />
</System>
<UserData>
<LogFileCleared xmlns="http://manifests.microsoft.com/win/2004/08/windows/eventlog">
<SubjectUserName>SYSTEM</SubjectUserName>
<SubjectDomainName>NT AUTHORITY</SubjectDomainName>
<Channel>System</Channel>
<BackupPath />
</LogFileCleared>
</UserData>
</Event>
这些用户帐户和/或日志条目是否可疑?