Почему Windows Server по-прежнему генерирует 4624 события (учетная запись успешно вошла в систему) в журнале безопасности, даже если для параметра Audit logon events в политике аудита установлено значение Нет аудита.
Насколько мне известно, аудит событий входа в систему включен по умолчанию, если вы хотите отключить его, используйте GPMC и измените политику домена по умолчанию.
В настройках компьютера, параметры безопасности, локальные политики, политика аудита.
Пожалуйста, обратитесь к этой предыдущей теме, предлагающей решения, которые могут помочь вам решить эту проблему: https://social.technet.microsoft.com/Forums/office/en-US/a9370291-0520-484d-a6c3-9a23cdf94023/excessive-4624-and-4634-events?forum=winserverDS
Если проблема вызвана определенным терминальным сервером, мы можем удалить его из домена и повторно присоединиться к нему в качестве теста.
Вот шаги, которые необходимо выполнить, чтобы успешно отслеживать сеансы входа пользователей в систему с помощью журнала событий: https://community.spiceworks.com/how_to/130398-how-to-track-user-logon-session-using-event-log