如何从安全日志中获取用户的原始登录和注销事件

Windows事件日志根据会话进行思考，而不是像我们认为的那样进行物理登录或注销。例如，当登录用户使用的资源由于不活动而超时时，可能会触发注销事件。不确定是否可以依赖Windows事件日志来进行物理登录/注销事件的历史报告。

另一个选项可以是与用户对象关联的Active Directory的lastLogoff和lastLogon属性。但它只会给你最近的注销或登录时间。如果这适合您的场景，请参阅此示例了解如何读取该属性。

对于历史报告，您至少需要确保启用了审核。然后，您可以添加简单的单行登录和注销脚本，每当用户物理登录或注销时，这些脚本都会写入日志文件。有关详细信息，请参阅这篇知识库文章。

最后，您还可以使用名为Active Directory Audit by ManageEngine的第三方产品。