È possibile cancellare un intero registro eventi, ma non singole voci.
Se sei un amministratore sulla macchina, puoi andare in Event Viewer e cancellare il registro di sicurezza, facendo clic con il tasto destro su di esso e andando in Proprietà, quindi facendo clic su Cancella registro. Ciò rimuoverà tutti i registri, quindi aggiungerà una voce che indica l'ora e l'ID utente che ha cancellato il registro.
Tenere presente che questo non necessariamente distrugge tutte le tracce dei registri di sicurezza, poiché i residui dell'evento di accesso possono ancora esistere in altri registri eventi e file di registro. Inoltre, sui sistemi che appartengono a un dominio, i registri di accesso possono essere memorizzati sul server di directory attivo e sul computer locale.
Ad esempio, i seguenti registri di solito contengono prove duplicate di accessi, eventi di avvio o altre attività che possono essere ricondotte a un nome utente:
- Applicazioni e servizi »Microsoft» Windows
- TerminalServices-LocalSessionManager »Operativo
- PrintService »Amministratore
- ReadyBoost »Operativo
- Servizio profili utente »Operativo
- Esperienza applicazione »Telemetria programmi
- Esperienza applicazione »Assistente compatibilità programmi
- Diagnosi-Programmata »Operativa
- Script diagnosticato »Operativo
- Diagnostica-Scripted »Amministratore
- Registri di Windows »Applicazione
- Filtra per
User != SYSTEM
e User != N/A
, quindi ordina per tempo. Facile individuare gli eventi correlati a orari specifici.