Sappiamo che il nostro logging di Windows è stato disabilitato su diversi server Windows quando abbiamo iniziato a ricevere avvisi di messaggi di ritardo nel nostro SIEM. Sappiamo approssimativamente il periodo di tempo in cui ciò è accaduto. Tuttavia, non so cosa cercare per determinare come e chi ha apportato la modifica.
Non riesco a trovare un ID messaggio fornitore corrispondente sul sito Web di MS. Windows registrerà questa modifica da qualche altra parte che posso cercare? La registrazione non è stata cancellata, solo disabilitata.
Ho usato VMID 7040 per il servizio disabilitato ma non sono riuscito a ottenere alcun risultato. Quindi non penso che sia stato disabilitato quella strada. Non so in quale altro modo avrebbe potuto essere disabilitato. Forse una modifica del registro?