イベントログからログオンとログオフの時刻を確認するコマンドを作成しました。

get-eventlog -logname security | where {($_.eventID -eq 4647) -or ($_.eventID -eq 4624  -and $_.message -match "\s*?ログオン タイプ:\s*2\s*?")} | more

イベントログのセキュリティを確認します。4627はログオフのイベントIDです。4624はログオンのイベントIDです。イベントログを見てみると、一回、PCを起動しログオンするごとに複数回4624が出力されます。出力内容はそれぞれ異なるのですが、ログオンタイプが2は対話型のログオンです。


以下実行結果