Единственный способ поймать этот вид материала состоит в том, чтобы иметь уровень файла уже, контролирующий на месте. После факта Вы не можете узнать. Такой аудит является страшно спамным и в значительной степени требует некоторого стороннего механизма агрегирования/анализа журнала.
Если можно сузить его на основе того, когда ошибки сначала появились в журнале событий, Вы можете проверять события входа в систему/выхода из системы для наблюдения, кто был зарегистрирован примерно в то время, когда запущенная проблема. Это не поможет, если удаление произошло через сетевой ресурс.