一、通过事件查看器查看系统日志

打开事件查看器

按 `Win + R` 打开运行窗口，输入 `eventvwr` 并回车，或直接在文件资源管理器中导航到 `Windows\System32\Logs` 并打开 `Security` 日志。

筛选删除事件

在事件查看器的“筛选当前日志”框中，输入 `delete` 或 `FileDelete` 进行筛选，即可查看文件删除的相关记录。

二、通过文件系统审核功能（需提前配置）

配置审核策略

按 `Win + R` → `gpedit.msc` 打开组策略编辑器；

导航到 `计算机配置 → 安全设置 → 本地策略 → 审核策略`；

在“审核对象访问”中勾选“文件或文件夹”，并设置要监控的目录（如 `D:\客户资料`）。

查看审核日志

审核策略生效后，删除操作会生成事件日志；

通过事件查看器的“安全性”日志，可查看包含 `EventID 4728` 的删除事件。

三、检查回收站（仅限未彻底删除的文件）

查看最近删除文件

打开回收站，可查看最近删除的文件列表，但需注意：

若文件被清空，记录将丢失；

仅能恢复未彻底删除的文件。

恢复误删文件

在回收站中右键选中目标文件，选择“还原”即可恢复。

四、使用第三方数据恢复工具（适用于已删除文件）

若文件被清空或系统日志未记录，可使用以下工具尝试恢复：

EasyRecovery：

扫描硬盘并恢复误删文件，显示删除时间等信息；

Disk Drill：支持恢复文件、文件夹及注册表修改记录。

注意事项

权限要求：部分功能（如事件查看器、组策略编辑器）需管理员权限；

系统限制：Windows XP系统默认关闭文件删除审核，需手动启用；

数据备份：重要数据建议定期备份，以防误删或恢复失败。

通过以上方法，您可以有效地查看和管理电脑上的文件删除记录。