Event ID 1102: The audit log was cleared (Security)

Was diese Event ID tatsächlich auf der Festplatte aufzeichnet, welche EventData-Felder zuerst zu lesen sind und wo sie in einem DFIR-Triage-Workflow steht.

Kanal: Security
Anbieter: Windows\Security
Triage-Notizen: Anti-forensic action. Pair with System 104. Pivot SubjectLogonId to the matching 4624.

Detail-Guide

Event-ID 1102 erklärt: Sicherheits-Audit-Log gelöscht (und was übrig bleibt)Vollständige Analyse lesen →