我明白你遇到的糟心事了——刚在事件查看器里看到的5663审核事件，按F5刷新后居然找不到了，而且每次刷新显示的事件还不一样，明明已经把日志大小设成20MB了，怎么还会丢事件，想找回今天甚至过去几天的所有记录对吧？咱们一步步来排查解决：

• 先搞懂事件“消失”的核心原因
  大概率是日志的覆盖策略或者筛选器设置出了问题。虽然你设了20MB的日志上限，但如果日志满了之后默认是“覆盖最早的事件”，新产生的审核事件会快速顶掉旧的，刷新后自然看不到之前的内容；另外筛选器如果没保存，刷新后可能会重置时间范围或筛选条件，也会导致事件“失踪”。

• 调整日志属性，避免事件被覆盖
  打开事件查看器，找到「安全」日志右键选择「属性」：

  1. 确认「最大日志大小」确实是20MB（或者可以适当调大，比如设成100MB，避免快速被填满）；
  2. 重点修改「当日志达到最大大小时」的选项，建议选择**「归档日志，不覆盖事件」**——这样日志满了之后会自动生成归档文件（比如Security.evtx.1、Security.evtx.2），不会覆盖现有日志，历史事件就能完整保留；
  3. 确保「启用日志」是勾选状态，避免日志停止记录。

• 固定筛选器，避免刷新后失效
  你筛选5663事件后，很容易因为刷新导致筛选条件重置：

  1. 点击事件查看器顶部的「筛选当前日志」，设置好事件ID为5663，同时把时间范围设为**「自定义」**（比如选择今天或过去几天）；
  2. 点击「保存筛选器」，取个好记的名字（比如「5663文件审核事件」），之后直接打开这个保存的筛选器，就不会出现刷新后看不到事件的情况了。

• 查找并打开归档的历史日志
  如果之前已经开启了归档，归档日志默认存在C:\Windows\System32\winevt\Logs目录下，文件名是带数字后缀的Security.evtx.*（数字越大，日志越旧）：

  1. 在事件查看器里右键「安全」日志，选择「打开保存的日志」；
  2. 找到对应路径下的归档文件打开，就能查看历史的5663事件了；
  3. 也可以直接在文件资源管理器里找到这些.evtx文件，双击就能在事件查看器中打开。

• 用命令行工具兜底查询日志
  如果图形界面出问题，试试用系统自带的wevtutil命令来导出或查询：

  • 导出所有安全日志中的5663事件到文本文件：

    wevtutil qe Security /q:"*[System[EventID=5663]]" /f:text /o:file /path:"C:\5663_audit_events.txt"
    

  • 如果要查询归档日志，只需把命令里的Security替换成归档文件的完整路径，比如：

    wevtutil qe "C:\Windows\System32\winevt\Logs\Security.evtx.1" /q:"*[System[EventID=5663]]"
    

• 排查其他可能的异常情况

  1. 重启事件日志服务：打开「服务」（services.msc），找到「Windows Event Log」右键重启，修复可能的服务异常；
  2. 检查C盘空间：如果C盘剩余空间不足，归档文件无法生成，日志还是会被覆盖；
  3. 确认审核策略：打开本地组策略编辑器（gpedit.msc），到「计算机配置→Windows设置→安全设置→本地策略→审核策略」，确保「审核对象访问」已启用成功和失败审核，同时你设置的文件夹/文件审核项是正确的。

备注：内容来源于stack exchange，提问作者Álvaro García