Можно ли узнать, кто удалил конкретное приложение из журналов событий Windows 7?
3 ответа
24
Нет 100% -ного способа сделать это, например, если бы он использовал пользовательский установщик, который ничего не записывал, но, к счастью, большинство установщиков используют службу установщика Microsoft (MSI). Служба установщика регистрирует все в программе просмотра событий.
- Щелкните правой кнопкой мыши "Компьютер" на рабочем столе / в меню "Пуск" и выберите "Управление".
- В разделе "Системные инструменты" разверните "Просмотр событий", "Журналы Windows" и выберите "Приложение".
- Справа нажмите "Фильтровать текущий журнал"
- В новом диалоговом окне в раскрывающемся списке "Источники событий" выберите "MsiInstaller".
Это отфильтрует журнал для любых действий, связанных с установщиком Windows. Если вы знаете приблизительную дату / время, вы можете посмотреть там. Или вы можете нажать «Найти ...» справа, чтобы попытаться найти определенную строку. Текст события будет выглядеть примерно так:
Установщик Windows удалил продукт. Название продукта: <продукт>. Версия продукта: <версия>. Язык продукта: 1033. Производитель: <производитель>. Успешное удаление или статус ошибки: 0.
Как только вы нашли его, пользователь, выполняющий действие, будет отображаться в разделе "Пользователь".
2
Перейдите в программу просмотра событий, перейдите в журнал событий приложения, щелкните правой кнопкой мыши по нему и выберите фильтр текущего журнала, затем выберите MSIINSTALLER. Это должно дать вам то, что вам нужно
0
Windows не ведет журнал удаления, иногда программа оставляет журнал, который может дать некоторую информацию, но я не верю, что вы сможете найти, кто это сделал.