Contando os usuários do Windows que fizeram logon em um servidor

Isso é manual, e não via programa, mas você pode criar um filtro no Visualizador de Eventos que mostrará apenas seus eventos de login. Clique com o botão direito do mouse na pasta Custom Views e escolha a opção Create Custom View . Infelizmente, para este filtro você tem que editar o XML. Aqui está o que o XML para o filtro ficaria:

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">
      *[System[(EventID=4624)]] 
      and 
      *[EventData[Data[@Name='LogonType'] and (Data='2' or Data='10' or Data='11')]]
    </Select>
    <Suppress Path="Security"> 
       *[EventData[Data[@Name='TargetDomainName'] and  (Data = 'Window Manager')]]
    </Suppress> 
  </Query>
</QueryList>

Você pode querer editá-lo para incluir também o tipo de logon 7 (Desbloquear uma sessão bloqueada). Mais informações sobre códigos de tipo de logon estão disponíveis aqui:

http://www.windowsecurity.com/articles-tutorials/misc_network_security/Logon-Types.html

Observe que isso NÃO filtra por período: somente logins. Mas, depois de reduzir essa parte, é fácil navegar pelo período no Event Viewer manualmente.

Infelizmente, este filtro não funcionou para mim quando usei a opção "Conectar a outro computador", mesmo com o firewall desligado.

Não há um caminho fácil. Pentear através de logs de segurança é a primeira coisa que vem à mente. Você está procurando a identificação de evento 4624. Preste atenção ao tipo de logon (2,10,11 se sua intenção for contar os logons interativos).

Dependendo da rapidez com que as entradas do log de segurança são geradas e o tamanho do seu log, o log pode ser substituído antes do ciclo de 30 dias.

É melhor impor um script de login que faça a contagem para um local central.