Event ID 1102: The audit log was cleared (Security)

Lo que este Event ID realmente registra en disco, los campos EventData a leer primero y su lugar en un flujo de triage DFIR.

Canal: Security
Proveedor: Windows\Security
Notas de triage: Anti-forensic action. Pair with System 104. Pivot SubjectLogonId to the matching 4624.

Guía detallada

Event ID 1102 explicado: log de auditoría de seguridad borrado (y qué sobrevive)Leer el análisis completo →