Puede borrar un registro de eventos completo, pero no entradas individuales.
Si es un administrador en la máquina, puede ingresar al Visor de eventos y borrar el registro de seguridad, haciendo clic con el botón derecho en Propiedades y luego haciendo clic en Borrar registro. Esto eliminará todos los registros y luego agregará una entrada que indique la hora y la ID de usuario que borraron el registro.
Tenga en cuenta que este no destruye necesariamente todos los rastros de los registros de seguridad, ya que aún pueden existir remanentes del evento de inicio de sesión en otros registros de eventos y archivos de registro. Además, en los sistemas que pertenecen a un dominio, los registros de inicio de sesión se pueden almacenar en el servidor de directorio activo, así como en la máquina local.
Por ejemplo, los siguientes registros generalmente contienen evidencia duplicada de inicios de sesión, eventos de inicio u otra actividad que se puede vincular a un nombre de usuario:
- Aplicaciones y Servicios »Microsoft» Windows
- TerminalServices-LocalSessionManager »Operacional
- PrintService »Admin
- ReadyBoost »Operacional
- Servicio de perfiles de usuario »Operacional
- Experiencia de aplicación »Programa-Telemetría
- Experiencia de aplicación »Asistente de compatibilidad de programas
- Diagnóstico programado »Operativo
- Diagnosis-Scripted »Operacional
- Diagnosis-Scripted »Admin
- Windows Logs »Aplicación
- Filtre por
User != SYSTEM
y User != N/A
, luego ordene por tiempo. Fácil de detectar eventos que se correlacionan con tiempos específicos.