Dieses Playbook bietet Korrekturschritte zur Untersuchung von Incidents, die Ereignistypen nachverfolgen, bei denen der Anwender Sicherheitsprotokolle entfernt. Wenn das Sicherheitsprotokoll gelöscht wird, werden die Ereignisse 517 und 1102 unabhängig vom Richtlinienstatus für das Audit-Systemereignis protokolliert.

Diese Warnung kann die folgenden Ereignistypen nachverfolgen:

• Ereignis 517 : Die Felder „Primärer Anwendername“ und „Client-Anwendername“ geben den Anwender an, der das Protokoll gelöscht hat. Der primäre Anwendername entspricht dem System, und der Anwendername des Clients gibt den Anwender an, der das Protokoll gelöscht hat.
• Ereignis 1102 : Die Felder „Kontoname“ und „Domänenname“ geben den Anwender an, der das Protokoll gelöscht hat. Mit der Anmelde-ID können Sie rückwärts mit dem Anmeldereignis und anderen Ereignissen korrelieren, die während derselben Anmeldesitzung protokolliert wurden.