我正在尝试分析我的 2 台服务器的日志,一台是 Win 2k8 R2,另一台是 Win 2k3。具体来说,我希望能够在日志中看到用户是否删除、访问或修改了安全事件或系统事件日志。我发现这个关联其中包含清除日志时的事件代码,我想知道是否有某种方法可以查看是否通过事件查看器访问了日志。我找不到通过事件查看器访问这些日志的代码。据我所知,用户除了清除这两个日志文件外,不应该能够修改它们的内容,对吗?为了清楚起见,我想知道用户是否在事件查看器中查看这些审计日志。
Windows Server 安全/系统日志访问审计