Primeiro de tudo - pode não ser ninguém acessando seus logs de eventos remotamente. Arquivos de log de eventos estão sempre abertos. Eles são arquivos mapeados na memória , então você não pode basta apagá-los do disco.
Se você precisar de espaço em disco, precisará abrir eventvwr.msc e alterar o tamanho máximo do arquivo de log. A alteração não entrará em vigor até a próxima reinicialização do serviço de log de eventos (que provavelmente será quando você reinicializar a máquina).
Se você deseja limpar os logs (ou seja, remover os dados), você também pode fazer isso no eventvwr snap-in mmc.
Se você tiver necessidade de manter logs de eventos em um arquivo que pode ser deletado, use a chave de registro AutoBackupLogFiles , mas a memória mapeada arquivos ainda permanecerão.
Se você ainda suspeitar que uma conta de usuário está acessando o log de eventos no seu computador remotamente, e isso inclui o log de segurança - você deve verificar o log de segurança para eventos com ID 4672 e procure contas com o log de SeSecurityPrivilege ativado.
Se você não acha que o log de segurança é o que está sendo acessado, ainda é possível procurar eventos no log de segurança com ID 4624 , que deve mostrar a você quem acessou o computador remotamente (mas incluirá todos os usuários, não apenas os que acessam os logs de eventos). Isso deve pelo menos restringir sua lista de suspeitos.
Você sempre pode usar wevtutil para adicionar uma SACL de auditoria aos logs que você acha que estão sendo acessados. O processo é quase o mesmo que para adicionar permissões (DACL), exceto que você está dizendo quais coisas devem ser auditadas, ao contrário de permitido ou negado.
Um pouco menos elegante, mas quando você percebe uma conexão do IP remoto, você pode tentar executar qwinsta / server: remoteIP . Isso mostrará quem está conectado nesse computador, localmente no console ou via serviços de terminal. Não ajudará se o "usuário" for uma conta de serviço ou uma tarefa agendada.