あるコンピューターにユーザーがログオン/ログオフした形跡を監視する場合、セキュリティログを確認することが一般的だと思います。
が、決してそれだけではありません。
監視の要件にもよりますが、他にも有用なログがあります。
Windows 7 や Windows Server 2008 R2 以降の OS に限られますが、「アプリケーションとサービス ログ」の中のちょっと分かりにくい所にあります。
フォルダを「Microsoft」、「Windows」、「TerminalServices-LocalSessionManager」の順で開いていったところにある「Operational」というログです。
名前からすると、リモートデスクトップに関係するイベントしか記録されないように見えますが、実はローカルでログオンしたことも記録されます。
ただし、セキュリティログのID 4624のイベントに「ログオン タイプ: 3」として記録されるような、「ネットワーク経由でのログオン」の場合、この「Operational」には記録されません。
(ログオンの種類については、TechNetの「ログオン イベントの監査」に一覧が載っています。)
つづく