Você precisa definir algumas configurações na Diretiva de Grupo Local e nas configurações específicas da pasta. Por favor, siga os passos abaixo para rastrear os arquivos excluídos. Ele pode trazer as informações, como o registro de data e hora, quando o arquivo é excluído e a conta do usuário que excluiu o arquivo.
Executar > gpedit.msc > Configuração do Computador - > Configurações do Windows - > Configurações de segurança - > Políticas locais - > Política de Auditoria - > Acesso do objeto de auditoria > permitir auditoria 'Sucesso'. Agora abra um prompt de comando e execute o comando "gpupdate / force" para obter o efeito das configurações da política de grupo.
Quando o GPO local estiver em vigor, vá para a pasta que você deseja monitorar, clique com o botão direito e acesse as propriedades: Clique na guia de segurança > Avançado > Guia de Auditoria > Editar > Adicionar > em seguida, adicione o grupo que tem acesso a essa pasta > Selecione "Excluir pastas e arquivos de subpasta" e "Excluir" e clique em OK - > Selecione Substituir todas as entradas de auditoria herdáveis existentes, para aplicar a auditoria em "Todas as subpastas e arquivos" e clique em OK
Agora, exclua algum arquivo de teste e filtre a identificação de evento 4660 e a identificação de evento 4663 com a palavra-chave 'DELETE' para que você saiba mais detalhes.
Espero que isso ajude.