he habilitado la auditoria sobre una carpeta compartida, tambien en las politicas he selecionado:

Auditar el acceso a objetos, correctos e incorrectos.

con eso es suficiente? o debo auditar mas cosas?

y en lo que estube mirando de los logs, no me fueron muy claros, solo por ID de evento se puede saber si se elimina una archivo o se crea?

gracias y saludos..