虽然 ACL 确实是保护事件日志的主要方式，但它确实实现了一些其他安全功能。

从事件查看器中清除事件日志后，将添加一个新事件，其中包含清除它的用户的用户名。

Windows 还在操作系统运行时保持事件日志文件处于打开状态，以一种只能由事件日志进程写入的方式锁定文件[1]。然而，工具可以将恶意代码注入事件日志进程来规避这一点。一个这样的工具是WinZapper，尽管您确实需要管理员访问权限，而且自 Windows XP 以来我还没有玩过这个工具 - 所以不知道它是否仍然适用于 Windows 7。

将您的日志发送到远程、强化的服务器是明智的。许多免费工具（例如Snare）支持将 Windows 日志转发到 syslog 服务器。大多数 SIM/SIEM 工具也支持这一点，方法是使用本地安装的代理将日志推送到远程服务器，或者远程服务器通过 WMI 从源系统中提取日志（扩展性较差的方式）。您还可以使用Windows 事件收集器。

Windows 的事件日志仅与运行它的系统一样安全。因为系统上的帐户读取、写入和修改事件，所以任何危害机器的人或任何具有管理员权限的人都可以修改事件。从技术上讲，应该只有 LSASS 能够写入，但历史可以告诉你，Sasser 和其他蠕虫是如何使这个变得无用的。

就个人而言，我能想到的防止篡改的唯一可能防御措施是使用远程日志记录，例如eventlog-to-syslog。这允许远程存储任何和所有条目。有人可以用来绕过任何事情的唯一方法是事后。意思是，总是有一个日志的初始实例永远不会改变。如果攻击者 DID 管理器开始篡改日志，他们将不得不执行一些繁重的编程以在系统调用被写入（通过 LSASS）之前拦截系统调用以隐藏他们的踪迹。

即便如此（设法篡改日志），他们（攻击者）能够做的唯一机制，即返回并隐藏/修改他们的条目，也将危及系统日志服务器

在美国东部标准时间下午 3:42 编辑，以明确我最初的答案......

从一开始，您就必须了解 Windows 如何存储有关 EventLog 的任何内容。它在应用程序、会话、表示、传输层完成。这都是在机器本身上完成的。每个实例都是在本地编写的。这是问题时期。对于任何有权读取、写入、打开的人来说，他们都具有读写文件的能力（除非他们是管理员，否则没有能力）。

想一想。如果我在具有这些权限的机器上，几乎没有什么可以阻止我进行修改。即使你试图记录我在做什么，我也可以修改这些日志。事实上，timestomp（反取证程序）确实会破坏 MACE 时间。禁止这种情况的唯一机制是将日志发送到机器之外。我知道没有任何机制可以阻止机器上的本地人获得修改事件日志数据的能力。这是因为读取和写入是在机器本身上完成的。a )更新可能会破坏事情 b) 具有升级权限的用户可以删除和/或修改数据。

远程日志记录更有意义，因为日志（事件）不是在本地存储、写入、修改的。必须有人进入记录机器来操作（修改、擦除）条目。唯一的其他机制（本地校验和等）总是会被击败，因为总是需要一个超级用户（管理员、root 等）。恶意软件作者、病毒作者、恶意攻击者大多数时候倾向于修改事件条目。这应该很明显，在地方层面上无能为力。

至于“防篡改”，Manage Engine 声称他们可以做到这一点。但是，他们确实是在远程进行。