A Auditpol fará isso por você - por exemplo,
auditpol / set / subcategory: "Logoff" / sucesso: ativar / falha: ativar
auditpol / set / subcategory: "Logon" / sucesso: ativar / falha: ativar
Quanto à sua questão de bônus, eu suspeito que seja uma desvantagem em termos de sobrecarga do sistema versus utilidade. Logon \ logoff eventos são muito comuns em sistemas Windows - em um domínio típico com muita coisa ligada, pode haver muitos milhares por dia, estou olhando para um sistema agora que tem um par a cada segundo ou assim. Esses não são todos logons interativos, obviamente, mas qualquer coisa que precise invocar privilégios ou executar em um determinado contexto de segurança precisa ser feita com logon e logoff, para que haja muito disso acontecendo. Logar eventos de logon de usuário interativos "apropriados" só pode parecer útil como padrão, mas ter participado de alguma pesquisa sobre logs de segurança em meu dia, minha visão é que é uma boa idéia registrar essas coisas em um tudo ou nada sentido - encontramos um usuário pobre que estava sendo digitado por algo que acabou sendo outra pessoa [abusando de privilégios] iniciando remotamente o processo ofensivo no sistema de suspeitos.