¿Hay un mensaje de información en el Visor de eventos de Windows que indica el inicio de un cierre de sesión? Estoy tratando de detectar errores y advertencias cuando un usuario cierra sesión.
Respuesta1
Estoy bastante seguro de que necesita tener habilitado "Auditar eventos de inicio de sesión" para poder ver los eventos de inicio y cierre de sesión de la cuenta en el registro de eventos de seguridad.
Además, si esto es en relación conestepregunta, entonces simplemente puede buscar el evento 5324 en el registro de eventos operativos de GroupPolicy, sin tener que habilitar la auditoría de inicio de sesión de la cuenta.
Respuesta2
El registro de seguridad realiza un seguimiento de los eventos de inicio y cierre de sesión, lo que debería proporcionarle una marca de tiempo que debe buscar.
- 4624 -- Iniciar sesión
- 4625 -- Inicio de sesión fallido
- 4634 -- Cerrar sesión
- 4740 -- Bloqueo de cuenta