È possibile cancellare un intero registro eventi, ma non singole voci.
Se sei un amministratore sulla macchina, puoi andare in Event Viewer e cancellare il registro di sicurezza, facendo clic con il tasto destro su di esso e andando in Proprietà, quindi facendo clic su Cancella registro. Ciò rimuoverà tutti i registri, quindi aggiungerà una voce che indica l'ora e l'ID utente che ha cancellato il registro.
Tenere presente che questo non necessariamente distrugge tutte le tracce dei registri di sicurezza, poiché i residui dell'evento di accesso possono ancora esistere in altri registri eventi e file di registro. Inoltre, sui sistemi che appartengono a un dominio, i registri di accesso possono essere memorizzati sul server di directory attivo e sul computer locale.
Ad esempio, i seguenti registri di solito contengono prove duplicate di accessi, eventi di avvio o altre attività che possono essere ricondotte a un nome utente:
User != SYSTEM e User != N/A , quindi ordina per tempo. Facile individuare gli eventi correlati a orari specifici. Tecnicamente non è possibile eliminare singoli eventi all'interno di EventLog. Almeno, non conosco un'API pubblicamente nota che faccia questo all'interno della chiamata EventLog. Esiste un metodo "Cancella" che rimuove tutte le voci, non solo quelle specifiche.
Tutto quello che possiamo fare è filtrare i log.
Leggi altre domande sui tag windows authentication windows-vista