windows2000のログオンの追跡はできてますが、ログオフが追跡できません。 下記の記事に「不思議なバグ」があるとありますが、誰かこのバグの解決方法ご存知内でしょうか？ ------------------------ 成功したログオン イベント (イベント ID が 528 または 540) と対応するログオフ イベント (Windows 2000 では NT と同様に成功したログオフをイベント ID 538 で記録します) とを結びつけるには、両方のイベントに記録されている [ログオン ID] の番号を使用します。たとえば、Administrator が午後 1 時 27 分にログオンしているイベントを見つけ、この Administrator がログオフした時刻を知りたいとします。イベント ID 528 のログオン ID (例、図 4 の 0x0, 0xEC87) をメモに取り、[イベント ビューア] でセキュリティ ログを右クリックし、[検索] をクリックしてその番号のイベント ログを検索します。ただし、うまくいかないことがあります。Windows 2000 には、NT にもある不思議なバグがあります。OS がイベント ID 538 を記録しないことがたまにあります。(これまで私が知っているところでは、Windows 2000 では対話型ログオンの場合にのみこの問題が発生しています。) つまり、対応する イベント ID 538 が存在しないイベント ID 528 がある場合があります。 ソース：http://www.microsoft.com/japan/technet/prodtechnol/windows2000serv/maintain/monitor/logonoff.mspx#EFAA