Event ID 104: Log was cleared (System) (System)

O que esse Event ID realmente registra em disco, os campos EventData a ler primeiro e onde ele se encaixa em um fluxo de triagem DFIR.

Canal: System
Provedor: Windows\System
Notas de triagem: Service Control Manager's counterpart to Security 1102. Often missed by attackers who only clear Security.

Microsoft Learn

https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/manage/component-updates/wineventAbrir a referência oficial ↗