Прежде всего - это может быть не кто-то, получающий доступ к вашим журналам событий удаленно. Файлы журнала событий всегда открыты. Это файлы с отображением в памяти, поэтому вы не можете просто удалить их с диска.
Если вам нужно место на диске, вам нужно открыть eventvwr.msc и изменить там максимальный размер файла журнала. Изменение не вступит в силу до следующего перезапуска службы журнала событий (что, вероятно, произойдет при перезагрузке компьютера).
Если вы хотите очистить журналы (то есть удалить данные), вы также можете сделать это в оснастке eventvwr mmc.
Если вам нужно сохранить журналы событий в удаляемом файле, вы можете использовать раздел реестра AutoBackupLogFiles, но файлы, отображаемые в памяти, все равно останутся.
Если вы все еще подозреваете, что учетная запись пользователя осуществляет удаленный доступ к журналу событий на вашем компьютере, и это включает в себя журнал безопасности - вам следует проверить журнал безопасности на наличие событий с идентификатором 4672 и найти учетные записи, в которых включен SeSecurityPrivilege .
Если вы не думаете, что к журналу безопасности обращаются, вы все равно можете искать события в журнале безопасности с идентификатором 4624, который должен показать вам, кто обращался к компьютеру удаленно (но будет включать всех пользователей, а не только один / те, кто получает доступ к журналам событий). Это должно как минимум сузить ваш список подозреваемых.
Вы всегда можете использовать wevtutil, чтобы добавить контрольный SACL в журналы, к которым, по вашему мнению , обращаетесь. Процесс такой же, как и для добавления разрешений (DACL), за исключением того, что вы говорите, какие вещи следует проверять, а не разрешать или запрещать.
Немного менее элегантно, но когда вы заметите соединение с удаленного IP, вы можете попробовать запустить qwinsta / server:remoteIP . Это покажет вам, кто вошел в систему на этом компьютере, либо локально на консоли, либо через терминальные службы. Не поможет, если пользователь является учетной записью службы или запланированной задачей.
