我对事件 4624(登录)和 4634(注销)有一些了解。正如微软的文档所暗示的,我们可以将这些事件与 logonid 关联起来。
Here my question is, is there any other efficient way to do this?
Because my need would be, I have to read events for last 30 days, and correlate logon and logonoff events to find the logon duration.
根据文档,logonid 在同一台计算机上的重新启动之间是唯一的。因此在此期间(过去 30 天),可能会多次重启计算机。所以我怀疑,在我们分析过去 30 天的事件时,logonid 可能存在重复。