Você pode filtrar por ID do evento para ver tipos específicos de eventos. Há muitas IDs de eventos do Windows Installer correspondentes a diferentes tipos de ações. 1033 indica que um produto foi instalado, 1034 indica que um produto foi desinstalado.
Para o Windows Installer, você também pode filtrar por Source. MsiInstaller é a fonte de todos os eventos do Windows Installer.
O InstallShield tende a ser um wrapper para scripts MSI, portanto, geralmente teria os mesmos IDs de evento. No entanto, outros pacotes do instalador geralmente não usarão os mesmos EventIDs. Para qualquer instalador, você precisará encontrar os IDs de evento apropriados que ele usa (se houver).
ATUALIZAR detalhes: Ah, e esses são todos encontrados no visualizador de eventos em Application.
Resposta de atualização: As IDs de Eventos do Windows não são alteradas do SO para o SO, pois são determinadas pelo aplicativo. Neste caso, o Windows Installer.
Eu testei na minha caixa XP e em um servidor 2003 e ambos usaram 1033 para instalação e 1034 para desinstalação.
Você pode tentar instalar um patch de atualização do Windows ou semelhante. Algo pequeno, como uma atualização de certificado raiz ou algo parecido. Em seguida, verifique os logs de eventos para as entradas correspondentes. Isso permitirá que você veja se os logs foram apagados desde a última instalação.
ATUALIZAR mais detalhes, IDs alternativos: Há uma infinidade de informações on-line sobre IDs de eventos, incluindo listas de todos os EventIDs possíveis para os instaladores MSI. Olhando brevemente eu não estou realmente certo de qual é a diferença entre IDs 1033/1034 e 11707/11708. A documentação do MS parece mostrar que os dois tipos diferentes indicam a mesma coisa, ou seja, a instalação ou desinstalação bem-sucedida, mas contém diferentes tipos de informações.