可以跟踪 Windows 註銷事件嗎？

我正在開發一個應用程序來跟踪 Active Directory 域中的網路使用者登錄/註銷事件；該應用程序將通過審核域控制器上的安全日誌來工作。

審核登錄事件可能會有些棘手，但可以成功完成。

我的問題：如何跟踪註銷事件？

根據我所做的一些研究，這些事件似乎只記錄在本地工作站上，而不是記錄在 DC 上；此外，“lastLogoff”屬性存在於 AD 使用者對像上，但實際上並未被任何人使用。

這是一個非常具體的問題：當使用者從域工作站註銷時，是否在DC上登錄了某些東西？

澄清一下：我對其他審計方法不感興趣，我無法部署登錄/註銷腳本，也無法在任何地方安裝任何東西；我也知道記錄了打開和關閉的網路會話，但這不是我想要的。我需要審核域工作站的互動式登錄和註銷，我可以通過僅讀取域控制器安全日誌來做到這一點；閱讀每個工作站的本地事件日誌是沒有問題的。

如果這不能完成，沒關係；但我需要一個明確的答案。

• 這可以做到嗎？
• 如果是，如何？

看來這只是做不到。

當使用者註銷時，除了關閉的網路會話（但它們可以隨時關閉，不僅在註銷時）之外，什麼都不會登錄 DC。

你是對的，他們沒有登錄你的 DC。但是，我相信（但不是肯定的）如果您在 DC 上的審核足夠高，那麼當有人斷開網路驅動器時會記錄一個事件。因此，如果您正在為您的使用者映射驅動器，您可能會跟踪他們的註銷但尋找“解除安裝”事件。即使那樣，我也不確定我是否願意依賴它。你說你不能部署腳本，但我只是提一下，以防你已經在你的環境中。

引用自：https://serverfault.com/questions/134830