ログオンの履歴を監視する方法 <ログオフ編>

環境については、<ログオン編>と同じです。

ユーザーがログオフした際には、[ID:23] というイベント(情報)が記録されました。

 

 

 

[G] ローカルでログオフした場合

リモートデスクトップ サービス: セッション ログオフに成功しました。

 

ユーザー: TEST¥user001

セッションID: X

 

 

[H] リモートデスクトップでログオフした場合

上記[G]と全く同じです。 [ID:21]と違い、「ソースネットワークアドレス」として IP アドレスが記載されないので、リモートでログオンしていたのかどうかは判別できません。

 

 

ログオフ時に記録されるイベントとしては、他に[ID:24]というイベント(情報)もあります。

こちらには、[ID:21]と同様に「ソースネットワークアドレス」が記載されるため、そのユーザーがローカルでログオンしていたのか、リモートデスクトップでログオンしていたのか、判別可能です。

しかし、ログオンしていたユーザーがそのコンピューター自体をシャットダウンないし再起動した場合は、[ID:23]は記録されても[ID:24]は記録されないので、注意が必要です。

 

 

おわり