WindowsServer2008のイベントログの記録について質問です。
2008に限らず、7でもそうですが、ログオンとログオフ(event ID:4824またはevent ID:4834)の出力結果が、想定していた内容と違います。
具体的には、eventIDとLogonType=2でフィルタしたものの結果に、対話型ログイン以外のものが含まれているのです。
フィルタリング自体は正確に行えており、確かにMessage部分を見るとLogonType2のものだけが抽出されております。
LogonType2というのはユーザーが対話的にログオン(ctrt+alt+delなどでアカウント名やパスワードを入力するログイン方法)したものに限ると思うのですが、心当たりのないログオン記録が大量に抽出されてしまうのです。これは、仕様なのでしょうか??