0
我對事件4624(登錄)和4634(註銷)有一些瞭解。正如微軟的文檔所建議的,我們可以將這些事件與logonid關聯起來。我們如何映射用戶的登錄和註銷事件
Here my question is, is there any other efficient way to do this?
Because my need would be, I have to read events for last 30 days, and correlate logon and logonoff events to find the logon duration.
根據該文檔,logonid在同一臺計算機上的重新啓動之間是唯一的。所以在此期間(最近30天)可能會有幾次計算機重新啓動的可能性。所以我懷疑,在我們分析過去30天的事件時,logonid可能會出現重複。
並非每個登錄都會有一個關聯的註銷,例如,當一臺計算機重新啓動而不註銷或者筆記本電腦用戶只是拔出並回家時。 – Remko
我們可以通過將登錄和註銷事件與用戶的登錄ID **(用戶登錄和註銷事件之間唯一的用戶**登錄ID)進行映射來跟蹤用戶的登錄活動。 參閱下面的文章 http://www.morgantechspace.com/2013/10/tracking-user-logon-activity-using.html http://www.morgantechspace.com/2013/10/logon -and-logoff-events-in-active.html http://www.morgantechspace.com/2013/10/enable-active-directory-logonlogoff.html – kombsh