Você deve fazer mais pesquisas sobre os tipos de logon e ID de evento de logon. este link ajuda.
Eu encontrei um guia que ensina, ativando a auditoria da atividade de logon do sistema via gpedit.msc, como ler a atividade de logon por meio de eventvwr.msc
Esta forma de monitoramento é totalmente abrangente?
Eu tenho algumas dúvidas sobre isso. Por exemplo, o Windows não dá a chance de registrar uma conexão de área de trabalho remota. atividade de logon, talvez eu esteja preocupado, mas não parece incluído aqui.
Você tem algum truque para realmente verificar se o sistema foi usado? Sempre pensando que tenho privilégios de administrador, eu tenho uma idéia para implementar um tipo de lote oculto que poderia fazer o log para mim ... existe algo assim ao redor da rede?