Аудит удаления файлов при использовании DFS на Windows 2019 Server?

Question

[Dmitrij Liadze]

Здравствуйте, у нас стоят 2 сервера с Windows 2019, и на них установлен DFS с авторепликацией на оба сервера.
В результате у нас нет нормального аудита: в списках по событию 4663 (мы используем дополнительно фильтр по маске 0х10000, что предположительно соответствует операции DELETE) есть файлы с названиями типа
D:\System Volume Information\DFSR\Private\{ABC…}-{DEF…}\Installing\Teil-of-name-{123..}-v123456.doc
(это после удаления всех файлов типа .log, .tmp и \~$ ). Причём в качестве пользователя стоит имя сервера.
Ещё есть удаления целых каталогов (?!), тоже с именем сервера. В поле ProzessName стоит C:\Windows\System32\dfsrs.exe
Есть и удаления от конкретных пользователей, но от них идут несколько удалений одних и тех же файлов — это вероятно результаты неоднократных редактирований того же файла… При этом поле ProzessName вообще пустое!

Вопрос: каким образом можно обнаружить удаления при использовании DFS ?

P.S. На клиентах, соединённых по сети, под именем Диск:\доменное имя\dfs-shared\имя папки , удаление файла почти всегда не регистрируется.:( Иногда регистрируется нечто похожее на первое сообщение \DFSR\Private\{...}\Installing\..., иногда регистрируется D:\имя папки\конкретное имя.doc - но при этом нет последующего сообщения 4660!
P.P.S. Интересно, что при создании и удалении файла (D:\...\Test.txt) в папке на самом сервере с помощью IE, регистрируются аж 3 события:
4663 (Test.txt), 4660 (без имени), и снова 4663 - с тем же именем Test.txt... почему - тоже неясно.