Могу ли я отключить журналы и удалить событие с идентификатором 1102 (= событие очистки журнала)? Я уже пробовал:
Auditpol /set /category:* /success:disable
Но для события 1102 это не сработало!
Этот идентификатор события показывает, кто очищал журнал безопасности, поэтому немного любопытно, зачем вам его очищать.
Вы должны знать, что цель журналов событий - показать вам то, что вам может или не нужно изучать дальше. Microsoft делает все возможное, чтобы не дать вам удалить части. Это помогает предотвратить заражение вашей системы людьми, а вы вообще ничего не знаете. Когда люди задают такой вопрос, плохие мысли будут первым, что приходит на ум любому, кто работает в IT.