Прежде всего - это может быть не кто-нибудь, получающий доступ к вашим журналам событий удаленно. Файлы журнала событий всегда открыты. Они есть отображенные в память файлы так что вы не можете просто удалить их с диска.
Если вам нужно место на диске, вам нужно открыть eventvwr.msc и измените максимальный размер файла журнала там. Изменение не вступит в силу до следующего перезапуска службы журнала событий (что, вероятно, произойдет при перезагрузке компьютера).
Если вы хотите очистить журналы (то есть удалить данные), вы также можете сделать это в eventvwr оснастка mmc.
Если вам нужно хранить журналы событий в удаляемом файле, вы можете использовать AutoBackupLogFiles ключ реестра, но отображенные в памяти файлы все равно останутся.
Если вы все еще подозреваете, что учетная запись пользователя обращается к журналу событий на вашем компьютере удаленно, и это включает в себя журнал безопасности - вам следует проверить журнал безопасности события с ID 4672 и искать учетные записи, входящие в систему с SeSecurityPrivilege включен.
Если вы не думаете, что к журналу безопасности обращаются, вы все равно можете искать события в журнале безопасности с помощью ID 4624 , который должен показать вам, кто обращался к компьютеру удаленно (но будет включать всех пользователей, а не только тех, кто обращается к журналам событий). Это должно как минимум сузить ваш список подозреваемых.
Вы всегда можете использовать WEVTUTIL добавить аудит SACL в журналы, которые вы считаете являются доступ к Процесс такой же, как и для добавления разрешений (DACL), за исключением того, что вы говорите, какие вещи следует проверять, а не разрешать или запрещать.
Чуть менее элегантно, но когда вы заметите соединение с удаленного IP, вы можете попробовать запустить qwinsta / server: remoteIP , Это покажет вам, кто вошел в систему на этом компьютере, либо локально на консоли, либо через терминальные службы. Не поможет, если пользователь является учетной записью службы или запланированной задачей.