查询windows文件删除日志

1.在组策略对象编辑器中启用审核对象访问策略设置。

1）单击开始 - >运行 - > gpedit.msc

2）在计算机配置\ Windows设置\安全设置\本地策略\审核\策略下，查找审核对象访问并双击。

3）执行以下一项或两项操作，然后单击“确定”。

要审核成功的尝试，请选中“成功”复选框。

要审核不成功的尝试，请选中“失败”复选框。

2.右键单击要审核的文件或文件夹，单击“属性”，然后单击“安全”选项卡。

3.单击“高级”，然后单击“审核”选项卡。

4.要为新用户或组设置审核，请单击“添加”。在“输入要选择的对象名称”中，键入所需的用户或组的名称，然后单击“确定”。

5.在“应用到”框中，单击要进行审核的位置。

6.在“访问”框中，通过选中相应的复选框指示要审核的操作：

要审核成功事件，请选中“成功”复选框。

要审核不成功的事件，请选中“失败”复选框。

然后，安全日志中过滤事件ID输入：4663

注：5145:读 4663删除