我对事件4624(登录)和4634(注销)有一些了解。正如微软的文档所建议的,我们可以将这些事件与logonid关联起来。我们如何映射用户的登录和注销事件
Here my question is, is there any other efficient way to do this?
Because my need would be, I have to read events for last 30 days, and correlate logon and logonoff events to find the logon duration.
根据该文档,logonid在同一台计算机上的重新启动之间是唯一的。所以在此期间(最近30天)可能会有几次计算机重新启动的可能性。所以我怀疑,在我们分析过去30天的事件时,logonid可能会出现重复。
并非每个登录都会有一个关联的注销,例如,当一台计算机重新启动而不注销或者笔记本电脑用户只是拔出并回家时。 – Remko
我们可以通过将登录和注销事件与用户的登录ID **(用户登录和注销事件之间唯一的用户**登录ID)进行映射来跟踪用户的登录活动。 参阅下面的文章 http://www.morgantechspace.com/2013/10/tracking-user-logon-activity-using.html http://www.morgantechspace.com/2013/10/logon -and-logoff-events-in-active.html http://www.morgantechspace.com/2013/10/enable-active-directory-logonlogoff.html – kombsh