O utilitário quser.exe , enviado no Windows Server 2003 e mais recente, funcionará no Windows XP e retornará o horário de logon atual da sessão do console.
Você também pode consultar o tempo de logon do WMI por meio de um script:
Function WMIDateToString(varWMIDate)
WMIDateToString = Mid(varWMIDate, 5, 2) & "/" & Mid(varWMIDate, 7, 2) & "/" & Left(varWMIDate, 4) & " " & Mid
(varWMIDate, 9, 2) & ":" & Mid(varWMIDate, 11, 2) & ":" & Mid(varWMIDate, 13, 2)
End Function
For Each usr In GetObject("winmgmts:").ExecQuery("SELECT * FROM Win32_NetworkLoginProfile")
WScript.Echo usr.Caption
WScript.Echo WMIDateToString(usr.LastLogOn)
Next
No que diz respeito a logons anteriores, você estará preso analisando o log de eventos, supondo que você tenha feito auditoria de logons bem-sucedidos.
O evento 528 da origem "Segurança" é registrado no log de eventos "Segurança" sempre que houver um logon bem-sucedido. Logons com um "Logon Type" de "2" são logons interativos no console.
O evento 538 da origem "Segurança" é registrado no log de eventos "Segurança" quando o logoff do usuário ocorre. Você terá que combinar o "ID de Logon" do evento de logon com o evento de logoff para calcular os tempos.