我希望能够统计用户在他们的计算机上登录和注销的次数。我从Windows事件日志(从Win32_NTLogEvent WMI类)中获取有关登录/注销的信息。例如,使用以下查询:
select * from Win32_NtLogEvent
where EventCode = 4648 and TimeGenerated > '20120224000000.000000-***'
但是当计算机重新启动或启动时,它会计算3个登录次数。当用户点击注销或锁定(从开始菜单)然后再登录时,它会计算1个登录次数。用户通过Windows Active Directory进行身份验证。这会影响登录次数吗?我能否仅使用用户显式凭据计算登录次数?
我发现EventCode:4608和4609用于启动和关闭Windows,但我还需要在用户注销或锁定计算机时的登录次数。