Tirar a primeira pergunta do seu título "Como saber a que horas um usuário do domínio efetuou login" depende da plataforma na qual o usuário está efetuando login. Para o Windows 2000 / XP / 2003, o ID de evento 528 com o tipo de logon 2 mostrará os logons interativos de uma conta local ou de domínio. O LogParser é uma ótima ferramenta para analisar os logs de eventos de um grande número de máquinas e suporta um grande número de saídas. Por exemplo, você poderia usar o seguinte para consultar o log de segurança em uma máquina remota e enviar para um arquivo separado por guia:
c:>logparser.exe "select TimeGenerated, SID from \wksname\Security where EventID = 528" -i EVT -resolveSIDs:ON -q:ON -headers:off -o:TSV >> c:\UserLogons.txt
A consulta de eventos dos logs de segurança do Windows Vista / 2008/7 é um pouco diferente, já que o formato do arquivo de log foi alterado, bem como os IDs do evento. A identificação de evento 4624 com o tipo de logon 2 mostrará logins interativos bem-sucedidos. Podemos usar o wevtutil para consultar dados semelhantes e exibi-los no formato XML:
c:>wevtutil qe Security /q:"*[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and Task=12544 and (EventID=4624)] and EventData[Data[@Name='LogonType']='2']]" /e:Events > c:\UserLogons.xml
Quanto a ver o evento ID 540 aparecer nos seus logs de eventos de segurança no seu controlador de domínio:
O evento 540 é registrado por alguns motivos diferentes. Assim, por exemplo, você pode ver o evento ID 540 com o tipo de logon 3 quando um recurso compartilhado é acessado pelo serviço do servidor. Aqui estão os tipos de logon para este ID de evento fornecido pela Microsoft:
2 Interativo Um usuário fez logon neste computador no console.
3 Rede Um usuário ou computador conectado a este computador pela rede.
4 Lote O tipo de logon em lote é usado por servidores em lotes, onde os processos podem ser executados em nome de um usuário sem a intervenção direta do usuário.
5 Service Um serviço foi iniciado pelo Service Control Manager.
7 Desbloquear Esta estação de trabalho foi desbloqueada.
8 NetworkCleartext Um usuário conectado a uma rede. A senha do usuário era
passou para o pacote de autenticação em sua forma não combinada. A autenticação integrada empacota todas as credenciais de hash antes de enviá-las pela rede. As credenciais não atravessam a rede em texto simples (também chamado de texto não criptografado).
9 NewCredentials Um chamador clonou seu token atual e especificou novas credenciais para conexões de saída. A nova sessão de logon tem a mesma identidade local, mas usa credenciais diferentes para outras conexões de rede.
10 RemoteInteractive Um usuário fez logon neste computador remotamente usando os Serviços de Terminal ou uma conexão de Área de Trabalho Remota.
11 CachedInteractive Um usuário fez logon neste computador com credenciais de rede que foram armazenadas localmente no computador. O controlador de domínio não foi contatado para verificar as credenciais.
Caça feliz.