嘿，我来帮你解决这个问题！首先明确说：Windows 11的事件日志确实可以记录文件创建和永久删除的操作，但有个前提——你得先开启对应的系统审核策略，默认情况下这个功能是关闭的，所以如果之前没开，那开启前的操作是查不到的哦。

下面分两步给你讲：

一、先开启文件操作的审核策略 #

这一步是基础，不然日志里不会记录相关事件：

• 按下Win+R组合键，输入secpol.msc回车，打开「本地安全策略」
• 在左侧面板依次展开「本地策略」→「审核策略」
• 找到「审核对象访问」，双击它，在弹出的窗口里勾选「成功」和「失败」（这样不管操作成功还是失败都会被记录），然后点确定
• 注意：这个设置生效后，后续的文件操作才会被记录，之前的操作是回溯不到的哦。

二、在事件查看器里查询目标文件的操作日志 #

开启审核后，就可以去扒日志了：

• 按下Win+R，输入eventvwr.msc回车，打开「事件查看器」
• 在左侧展开「Windows日志」→「安全」日志，这里就是所有系统安全相关的事件记录
• 因为安全日志内容超多，直接翻找太麻烦，我们用筛选功能缩小范围：
  1. 在右侧面板点击「筛选当前日志」
  2. 在「事件ID」输入框里填4656,4663（这两个是和文件访问、操作最相关的ID），然后点确定
• 接下来逐个查看筛选后的事件，重点看这几个字段：
  • 对象名称：确认是不是你要找的那个文件的完整路径
  • 事件时间：这个就是文件操作发生的时间戳，正好是你需要的
  • 访问列表/访问掩码：用来区分操作类型——比如创建操作的掩码通常是0x20000，删除操作会明确显示「删除」权限

补充几个小技巧：

• 如果记得大概的操作时间，可以在筛选日志时设置「时间范围」，进一步缩小查找范围
• 要是找不到对应的事件，大概率是之前没开启审核策略，这种情况下就没办法回溯之前的文件操作时间了

备注：内容来源于stack exchange，提问作者NewSites