Dieses Playbook bietet Korrekturschritte zur Untersuchung von Incidents, die Ereignistypen nachverfolgen, bei denen der Anwender Sicherheitsprotokolle entfernt. Wenn das Sicherheitsprotokoll gelöscht wird, werden die Ereignisse 517 und 1102 unabhängig vom Status der Audit-Systemereignisrichtlinie protokolliert.

Diese Warnung kann die folgenden Ereignistypen nachverfolgen:

• Ereignis 517 : Die Felder Primär. Anwendername und Client-Anwendername geben den Anwender an, der das Protokoll gelöscht hat. Der primäre Anwendername entspricht dem System, und der Anwendername des Clients gibt den Anwender an, der das Protokoll gelöscht hat.
• Ereignis 1102 : Die Felder „Account-Name“ und „Domänenname“ geben den Anwender an, der das Protokoll gelöscht hat. Mit der Anmelde-ID können Sie rückwärts mit dem Anmeldereignis und anderen während derselben Anmeldesitzung protokollierten Ereignissen korrelieren.