我正在编写一个Windows服务,用于监视域中的帐户登录和注销事件(Windows 2012) . 登录事件id是4624,注销事件id是4634.但是我看到这两个事件是成对的,即事件4624紧接着事件id 4634.应该是什么方法来确定用户是否实际注销从域中的计算机?注意:仅对交互式登录会话感兴趣(不是网络,服务或其他)
您可能希望查看event 4647,每当用户注销时都会记录该日志 . 如果您感兴趣的是交互式会话,那么您还应该限制自己在4624事件中的相关登录类型(2,7,10,11) .
1 回答
您可能希望查看event 4647,每当用户注销时都会记录该日志 . 如果您感兴趣的是交互式会话,那么您还应该限制自己在4624事件中的相关登录类型(2,7,10,11) .