如何找出谁删除了事件查看器日志

Question 1

在 Windows 2003 中，当清除安全日志时，会自动向其中写入一个包含您正在寻找的信息的新事件。

例子：

Event ID: 517
Source: Security

The audit log was cleared 
    Primary User Name:  SYSTEM
    Primary Domain: NT AUTHORITY
    Primary Logon ID:   (0x0,0x3E7)
    Client User Name:   User's Name
    Client Domain:  CompanyDomain
    Client Logon ID:    (0x0,0x493DDA90)

来自微软的更多信息

此事件记录表示审计日志已被清除。无论审计策略如何，此事件始终会被记录。即使关闭审计，也会记录此事件。

除此之外，你还必须有对象审计政策已经到位并配置为有机会获得系统用户所采取的操作的额外日志。

Answer

在 Windows 2003 中，当清除安全日志时，会自动向其中写入一个包含您正在寻找的信息的新事件。

例子：

Event ID: 517
Source: Security

The audit log was cleared 
    Primary User Name:  SYSTEM
    Primary Domain: NT AUTHORITY
    Primary Logon ID:   (0x0,0x3E7)
    Client User Name:   User's Name
    Client Domain:  CompanyDomain
    Client Logon ID:    (0x0,0x493DDA90)

来自微软的更多信息

此事件记录表示审计日志已被清除。无论审计策略如何，此事件始终会被记录。即使关闭审计，也会记录此事件。

除此之外，你还必须有对象审计政策已经到位并配置为有机会获得系统用户所采取的操作的额外日志。

Question 2

清除日志会在日志文件中输入一个条目。下面是我的测试服务器的一个示例，它记录了用户名以及时间和日期。

Log Name:      System
Source:        Microsoft-Windows-Eventlog
Date:          07/12/2015 14:52:05
Event ID:      104
Task Category: Log clear
Level:         Information
Keywords:      
User:          CONTOSO\admin
Computer:      ad.contoso.local
Description:
The System log file was cleared.
Event Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-Eventlog" Guid="{fc65ddd8-d6ef-4962-83d5-6e5cfe9ce148}" />
    <EventID>104</EventID>
    <Version>0</Version>
    <Level>4</Level>
    <Task>104</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8000000000000000</Keywords>
    <TimeCreated SystemTime="2015-12-07T14:52:05.515696000Z" />
    <EventRecordID>4270</EventRecordID>
    <Correlation />
    <Execution ProcessID="812" ThreadID="3612" />
    <Channel>System</Channel>
    <Computer>ad.contoso.local</Computer>
    <Security UserID="S-1-5-21-3235254930-1055063838-1000765035-500" />
  </System>
  <UserData>
    <LogFileCleared xmlns="http://manifests.microsoft.com/win/2004/08/windows/eventlog">
      <SubjectUserName>admin</SubjectUserName>
      <SubjectDomainName>CONTOSO</SubjectDomainName>
      <Channel>System</Channel>
      <BackupPath>
      </BackupPath>
    </LogFileCleared>
  </UserData>
</Event>

Answer

清除日志会在日志文件中输入一个条目。下面是我的测试服务器的一个示例，它记录了用户名以及时间和日期。

Log Name:      System
Source:        Microsoft-Windows-Eventlog
Date:          07/12/2015 14:52:05
Event ID:      104
Task Category: Log clear
Level:         Information
Keywords:      
User:          CONTOSO\admin
Computer:      ad.contoso.local
Description:
The System log file was cleared.
Event Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-Eventlog" Guid="{fc65ddd8-d6ef-4962-83d5-6e5cfe9ce148}" />
    <EventID>104</EventID>
    <Version>0</Version>
    <Level>4</Level>
    <Task>104</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8000000000000000</Keywords>
    <TimeCreated SystemTime="2015-12-07T14:52:05.515696000Z" />
    <EventRecordID>4270</EventRecordID>
    <Correlation />
    <Execution ProcessID="812" ThreadID="3612" />
    <Channel>System</Channel>
    <Computer>ad.contoso.local</Computer>
    <Security UserID="S-1-5-21-3235254930-1055063838-1000765035-500" />
  </System>
  <UserData>
    <LogFileCleared xmlns="http://manifests.microsoft.com/win/2004/08/windows/eventlog">
      <SubjectUserName>admin</SubjectUserName>
      <SubjectDomainName>CONTOSO</SubjectDomainName>
      <Channel>System</Channel>
      <BackupPath>
      </BackupPath>
    </LogFileCleared>
  </UserData>
</Event>

如何找出谁删除了事件查看器日志

答案1

答案2

相关内容