Événements Winlogon du planificateur de tâches Windows - déconnexion insuffisante (?)

J'ai créé un script PowerShell que je veux exécuter à chaque déconnexion / redémarrage / arrêt.

Pour le déclencheur, je définis un événement personnalisé: Journal: Système, Source: Winlogon, ID d'événement: 7002. J'ai trouvé l'ID d'événement ci-dessus quelque part sur Internet - il correspond à la déconnexion (autant que je sache).

Le problème est que cela ne fonctionne que lorsque je vais appuyer sur Déconnexion. Ce n'est pas le cas lorsque je veux éteindre ou redémarrer le PC.

Cela devrait-il même fonctionner? Et si non, où puis-je trouver les autres ID d'événement? Comment puis-je même les chercher? (Je veux dire quel est leur nom?)

Vous devez ajouter des identifiants d'événement:

• 6005
• 6006
• 1074
• 4634
• 4647

Celles-ci reflètent divers scénarios d’arrêt / fermeture de session.

Référence:

• Description du suivi des événements d'arrêt
• Audit Logoff

Au lieu de vous dire quels événements, je suppose, pourraient se produire, voici comment les découvrir vous-même:

Vous pouvez vérifier les événements survenus sur votre appareil en consultant votre afficheur d'événements via le Panneau de configuration. Il vous montrera leurs noms et numéros d'identification d'événement.

Les événements de connexion / déconnexion apparaissent sous le dossier "Événements Windows" du journal appelé "Sécurité".

S'il y a des événements que vous n'attrapez pas, vous pourrez maintenant savoir ce qu'ils sont!