我正在编写一个Windows服务,用于监控域中的帐户登录和注销事件(Windows 2012)。登录事件id是4624,注销事件id是4634.但是我看到成对的这两个事件,即事件4624紧接着事件id 4634.应该是什么方法来确定用户是否实际注销来自域中的计算机? 注意:仅对交互式登录会话感兴趣(不是网络,服务或其他)
答案 0 :(得分:1)
您可能希望查看event 4647,每当用户注销时都会记录该{{3}}。如果您对所有您感兴趣的交互式会话感兴趣,那么您应该在4624活动中限制自己使用相关的登录类型(2,7,10,11)。