Как я могу отслеживать, почему файлы удаляются на моем сервере Windows?

У меня есть сервер Windows 2008 R2, на котором запущено стороннее веб-приложение. Веб-приложение создает файлы журналов, и эти файлы журналов удаляются случайным образом. Служба поддержки поставщика не может воспроизвести проблему (я тоже не в своей лаборатории). Я подозреваю, что файлы могут быть удалены другим сторонним приложением / инструментом, но я хочу подтвердить.

Есть ли инструмент, с помощью которого я могу отслеживать, какой конкретный процесс удалил файл?

Сначала я думал, что могу включить политику аудита для каталога (согласно http://blogs.technet.com/b/mspfe/archive/2013/08/27/auditing-file-access-on-file-servers.aspx), но есть ограничения групповой политики, которые не позволяют мне это сделать.

Затем я подумал, что могу использовать что-то вроде Монитор процесса но, похоже, это не отслеживает удаления.

Есть ли другой инструмент / метод, который я могу использовать для отслеживания удалений?