Você está indo sobre isso da maneira errada, no entanto, pelo menos, você está pensando sobre isso de uma maneira esclarecida.
Você deseja usar o registro de segurança interno do sistema operacional para fazer isso por você. Usuários executando scripts, como você supõe corretamente, podem "enganar" você. O sistema operacional, supondo que os usuários não tenham direitos de "Administrador", fornecerá um registro real da atividade de logon / logoff do usuário.
Você não menciona a versão específica do Windows que seus computadores clientes estão executando. Se você está falando sobre os clientes do Windows 7, você pode ter um tempo mais fácil de agregar os logs de todas as máquinas por encaminhamento e coleta de eventos . Para máquinas com Windows XP, você precisará coletar os eventos dos clientes usando uma ferramenta que não seja de estoque, se quiser um registro central.
Você desejará uma diretiva de auditoria que permita o sucesso da auditoria (e falha, IMHO) de eventos de logon / logoff nos computadores clientes. Eu recomendo usar a Política de Grupo para aplicar essa configuração. No nível mais básico, você deve definir "Auditoria de eventos de logon" como "Sucesso".
Os eventos que você precisará observar no Windows 7 são descritos pela Microsoft aqui:
Para o Windows XP, este artigo descreve os eventos .
Isso não é tão simples quanto você pensa, já que você pode ter logons que não correspondem a nenhum logoff se a máquina for desligada, travada, etc. Você precisará explicar isso no seu computador. código de relatório.