Решение в лоб, так сказать. Сколько я не искал, так и не нашел более простого способа поправить логи в живой системе. Проверенно на XP SP2, 2003. Нужный нам инструмент: Process Explorer, Event Log Explorer, консоль. Права администратора, естественно. Возможность перезагрузки.

Итак, открываем консоль заранее набираем там комманду «shutdown /a». Открываем Event Log Explorer -> Open -> Open Log File -> Direct -> выбираем нужный нам журнал. Выделяем нужные только нам события -> Save Log As -> Save Selected Events -> сохраняем журнал под другим именем 😉

Теперь — самое страшное. Нам нужно убить процесс services (вот оно, решение в лоб), дабы иметь возможность изменить реальный файл журнала. После того как мы убьем его с помощью Process Explorer система норовит уйти в ребут, поэтому быстро переключаемся в консоль и нажимаем там ENTER после заранее набранной нами команды отмены перезагрузки.

Дальше — заменяем системный файл журнала созданным нами файлом. Ребут.

Мдя.. все же ребут в логах у нас останется.. поэтому перед всем этим — шаманим с auditusr 😉 Еще замечу, что система с убитым services работает крайне нестабильно, поэтому, если вы делаете это все удаленно — рекомендую предварительно поставить задание на ребут. Так, на всякий случай.

upd

на самом деле можно и не убивать services. Достаточно выгрузить из него eventlog.dll 🙂