ドメイン内のアカウントのログインおよびログオフ イベントを監視する Windows サービスを作成しています (Windows 2012)。ログイン イベント ID は 4624 で、ログオフ イベント ID は 4634 です。ただし、これら 2 つのイベントがペアで表示されます。つまり、イベント 4624 の直後にイベント ID 4634 が続きます。ユーザーが実際にログオフされているかどうかを判断する方法は何ですか。ドメイン内のマシンから? 注: 対話型ログオン セッションのみに関心がある (ネットワーク、サービスなどには関心がない)
1 に答える
1
ユーザーがログオフするたびにログに記録されるイベント 4647を確認することをお勧めします。対話型セッションだけに関心がある場合は、4624 イベントで関連するログオンの種類 (2、7、10、11) に制限する必要もあります。
于 2016-09-14T10:44:53.040 に答える