Para explicar a ID do evento -520:
Nome do processo : caminho e nome do processo que alterou a hora. Geralmente serão rundll32.exe (Painel de Controle), cmd.exe (comando Time) ou svchost (se o tempo foi alterado pelo sistema em conexão com o serviço de sincronização de tempo do Windows ou NTP)
Nome de usuário principal : corresponderá ao sistema local se alterado automaticamente; caso contrário, identificará o usuário real se alterado por meio do painel de controle ou do comando de hora.
Domínio principal : domínio do usuário
ID de logon principal : está correlacionado ao ID de logon na ID de evento da sessão de logon do usuário 528 ou 540
Nome de usuário do cliente : seu nome de login
Domínio do cliente : seu domínio interno
ID de login do cliente : id de logon
Hora anterior : hora do sistema anterior
Novo horário : tempo atual alterado
Além disso, a quarta entrada tem identificação de evento: 515
De technet :
Este registro de evento indica que um processo de logon foi registrado com a autoridade de segurança local (LSA). Além disso, as solicitações de logon agora serão aceitas a partir dessa fonte.Os processos de logon são componentes confiáveis responsáveis por coletar informações de identificação e autenticação de dispositivos externos, como terminais e redes. Eles usam os serviços da Autoridade de Segurança Local para registrar esses usuários. Um único sistema pode suportar simultaneamente vários processos de logon.
A data do seu sistema
Como alternativa, você pode tentar myeventviewer para acompanhar as alterações.
Eu suponho que a sobregravação está desativada nas propriedades do visualizador de eventos, portanto, os logs podem ser registrados várias vezes