Privilege Elevation produz um evento de logon, portanto, observe as últimas ocorrências de Event ID 4648 (logon interativo) e 4624 (tentativa de logon bem-sucedida) no log de segurança.
Caso contrário, altere a política do UAC de volta e verifique quais eventos são gerados no log de eventos - em seguida, procure eventos semelhantes
Atualizar : se você tiver grandes volumes de entradas do log de eventos para pesquisar, experimente EventCombMT e procure os eventos mencionados acima. É um pouco old school, mas muito útil para coletar e classificar as entradas do log de eventos em uma ou mais máquinas Windows