当然可以尝试通过Windows 7的事件查看器来挖掘这些操作痕迹，不过最终能不能拿到有效信息，要看系统有没有开启对应的日志记录——我给你一步步拆解怎么查：

• 第一步：打开事件查看器
  按下Win+R组合键，在弹出的运行框里输入eventvwr.msc，回车就能打开事件查看器了。

• 追溯文件删除操作
  展开左侧的「Windows日志」→「安全」日志。这里需要系统之前开启了「对象访问」的审核策略，如果没提前配置过，可能没有相关记录，但还是值得一查：

  • 右键「安全」日志，选择「筛选当前日志」，在事件ID里输入4663，点击确定。这个ID对应的是**文件/文件夹被访问（包括删除）**的事件。
  • 找到事件后，查看详情里的「对象名称」是不是丢失的那个文件夹，再看「账户名称」是哪个用户操作的——如果是同事的账户，就能作为关键佐证。

• 追溯回收站清空时间
  回收站清空的记录在「Windows日志」→「应用程序」日志里：

  • 同样右键「应用程序」日志筛选，事件ID输入1001，来源选择Windows Shell Common Dll。这个事件会明确记录「回收站已清空」的时间点，你可以把这个时间和安全日志里的删除事件、同事的登录日志（事件ID4624是登录成功，4634是注销）交叉对应，验证逻辑链。

• 如果没开审核策略怎么办？
  要是安全日志里找不到4663事件，大概率是系统默认没开启对象访问审核，这种情况下没法直接拿到文件删除的具体操作记录，但你依然可以通过应用日志的1001事件确认回收站清空时间，再结合同事的登录时间段来辅助判断——比如清空时间正好是岳母休假、同事登录电脑的时段，这也能作为间接线索。

另外，如果能通过RDP远程登录那台电脑，操作会更方便。提醒一句：如果要留存证据，记得右键对应日志选择「保存所有事件」，导出成日志文件，避免后续日志被覆盖或修改。

备注：内容来源于stack exchange，提问作者oceanweb.io