A configuração padrão faz com que seja um pouco confuso. Isso ocorre porque o Windows também rastreia sempre que você precisa fazer o login em computadores da rede. Ele também rastreia toda vez que sua conta de computador, não a conta de usuário, cria uma sessão de login.
Você deve usar a opção logon da conta de auditoria , e não a opção auditoria de logon .
Os eventos que você está procurando terão o nome de domínio totalmente qualificado da sua conta. Por exemplo, se você não estiver em um domínio, o texto de pesquisa que você está procurando é computer_name / account_name.
editar
Outra ideia é criar scripts de login e logoff. Dependendo da sua edição do Windows 7, você pode usar gpedit.msc
para abrir o Console de Políticas de Grupo.
Então, você só precisará de um arquivo batch que tenha o comando logevent "My login/logoff event" -e 666
. Este evento será exibido no log do aplicativo
editar
Isso será mais fácil se você não estiver em um domínio. Se você passar para as opções Segurança Local / Políticas Locais / Segurança, procure a opção "Forçar Auditoria ...". Eu esqueci o nome dele. Mas desabilite isso. Isso tornará os logs de segurança menos detalhados, já que um usuário que faz login no console, em alguns casos, compartilha o mesmo ID de evento. Algumas IDs de evento que você deseja procurar:
- Evento 4647 - é quando você clica no botão desligar, reiniciar e desligar. A atualização do Windows que está reiniciando seu computador também às vezes desencadeia esse evento: (
- Evento 4648 - é quando um processo (que inclui a tela de login) usa suas credenciais explícitas, em vez de dizer um token, para efetuar login. Isso inclui o comando Runas e, muitas vezes, programas de backup.
- Evento 4800 - Quando sua estação de trabalho está bloqueada, como pressionar WIN + L
- Evento 4801 - Quando sua estação de trabalho está desbloqueada
Geralmente, você pode usar os eventos 4647 e 4648. Infelizmente, não há um método de disparo seguro, pois há mil coisas que acontecem quando você faz login e logoff do seu computador.
Para isso vale a pena, no trabalho, procuramos o script de login para disparar e no logoff, há dois programas, bem como um evento de sincronização que procuramos como eventos de incêndio.