Contar los usuarios de Windows que han iniciado sesión en un servidor

Esto es manual, en lugar de mediante un programa, pero puede crear un filtro en el Visor de eventos que mostrará solo sus eventos de inicio de sesión. Haga clic derecho en la Custom Viewscarpeta y elija la Create Custom Viewopción. Desafortunadamente, para este filtro tienes que editar el XML. Así es como se vería el XML del filtro:

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">
      *[System[(EventID=4624)]] 
      and 
      *[EventData[Data[@Name='LogonType'] and (Data='2' or Data='10' or Data='11')]]
    </Select>
    <Suppress Path="Security"> 
       *[EventData[Data[@Name='TargetDomainName'] and  (Data = 'Window Manager')]]
    </Suppress> 
  </Query>
</QueryList>

Es posible que desee editar esto para incluir también el tipo de inicio de sesión 7 (Desbloqueo de una sesión bloqueada). Más información sobre los códigos de tipo de inicio de sesión está disponible aquí:

http://www.windowsecurity.com/articles-tutorials/misc_network_security/Logon-Types.html

Tenga en cuenta que esto NO filtra por rango de fechas: solo inicios de sesión. Pero una vez que haya reducido esa parte, es fácil explorar manualmente el rango de fechas en el Visor de eventos.

Desafortunadamente, este filtro no funcionó cuando usé la opción "Conectar a otra computadora", incluso con el firewall apagado.

No hay un camino fácil. Lo primero que me viene a la mente es revisar los registros de seguridad. Está buscando el ID de evento 4624. Preste atención al tipo de inicio de sesión (2,10,11 si su intención es contar los inicios de sesión interactivos).

Dependiendo de qué tan rápido se generen las entradas del registro de seguridad y del tamaño de su registro, es posible que el registro se sobrescriba antes del ciclo de 30 días.

Es mejor implementar un script de inicio de sesión que haga el recuento en un lugar central.