No Windows 2003, quando o log de segurança é limpo, um novo evento é automaticamente gravado nele contendo as informações que você está procurando.
Exemplo:
Event ID: 517
Source: Security
The audit log was cleared
Primary User Name: SYSTEM
Primary Domain: NT AUTHORITY
Primary Logon ID: (0x0,0x3E7)
Client User Name: User's Name
Client Domain: CompanyDomain
Client Logon ID: (0x0,0x493DDA90)
This event record indicates that the audit log has been cleared. This event is always recorded, regardless of the audit policy. It is recorded even if auditing is turned off.
Além disso, você teria que ter as diretivas de auditoria a> já existente e configurada para ter qualquer chance de ter registros adicionais de ações tomadas pelos usuários do sistema.