我可以禁用日志并删除事件 ID 1102(=日志清除事件)吗?我已经尝试过了:
Auditpol /set /category:* /success:disable
但这对事件 1102 不起作用!
答案1
此事件 ID 显示谁清除了安全日志,所以有点好奇你为什么要清除它。
您应该知道事件日志的目的是向您显示您可能需要或不需要进一步研究的内容。微软会竭尽全力阻止您删除部分内容。这有助于防止有人破坏您的系统而您却一无所知。当人们问这样的问题时,任何聪明的 IT 工作者首先想到的都是不好的想法