0
도메인 (Windows 2012) 내에서 계정 로그인 및 로그 오프 이벤트를 모니터링하는 Windows 서비스를 작성 중입니다. 로그인 이벤트 ID는 4624이고 로그 오프 이벤트 ID는 4634입니다. 그러나이 두 이벤트를 쌍으로 즉 이벤트 ID 4634 바로 뒤에 오는 이벤트 4624가 표시됩니다. 사용자가 실제로 로그 오프했는지 확인하는 방법은 무엇이 있어야합니까? 도메인에있는 머신에서? 참고 : 대화 형 로그온 세션에만 관심이 있습니다 (네트워크, 서비스 또는 기타가 아닌)사용자가 도메인에서 실제로 로그 오프되었는지 확인 - Windows Active Directory
도메인 컨트롤러 로컬 로그 오프에서만 이벤트 4647이 표시됩니다. 도메인의 다른 컴퓨터에서 로그인/로그 오프하면 도메인 컨트롤러에 이벤트 4624 및 4634 만 생성됩니다. 명시 적으로 활성화해야합니까? –
확실하지 않습니다. DC에서가 아니라 실제 머신에서 이벤트를 가져 오는 것에 대해 이야기했습니다. 어쩌면 설정 또는 이벤트 포워딩 정책이있을 수 있습니다. – Tomer
예, 실제 컴퓨터의 이벤트입니다. 실제 컴퓨터에서 DC 보안 로그에 이벤트 4624 및 4634가 표시되지만 이벤트 4647은 볼 수 없습니다. –