A auditoria do Uac é feita alterando a política do Windows (Local \ Group). A política em questão é encontrada em: Configuração do Computador \ Políticas \ Configurações do Windows \ Configurações de Segurança \ Políticas Locais \ Política de Auditoria
Uso de privilégios de auditoria fornecerá informações sobre o uso elevado usando a caixa de diálogo UAC consent.exe no log de eventos do sistema. Os IDs de Eventos criados por este: 4648 e 4624.
O Controle do processo de auditoria fornece informações sobre os processos e sua criação / rescisão. Id do evento criado por isso: 4688.
Além disso, observe o ID de evento 4696 para ver quando um novo token (identificador de logon de usuário) foi atribuído ao processo. Usando todos esses eventos, você pode obter uma imagem clara da linha do tempo para cada processo que solicitou direitos elevados com a caixa de diálogo do UAC.