我想计算他们计算机用户的登录和注销次数。我从 Windows 事件日志(来自 Win32_NTLogEvent WMI 类)中获取登录/注销信息。例如以下查询:
select * from Win32_NtLogEvent
where EventCode = 4648 and TimeGenerated > '20120224000000.000000-***'
但是当计算机重新启动或启动时,它会计算 3 次登录,当用户单击注销或锁定(从开始菜单)然后登录时,它会计算 1 次登录。用户通过 Windows Active Directory 进行身份验证。对登录次数有影响吗?我可以只计算使用用户显式凭据的登录次数吗?
我发现 EventCode: 4608 和 4609 用于启动和关闭 Windows,但我还需要用户注销或锁定计算机时的登录次数。