嘿，我来帮你排查这个问题！你遇到的仅看到RDP注销事件（Event ID 4634）却没有对应登录事件（Event ID 4624）的情况，通常是由几个常见原因导致的，下面我逐一分析并给出解决办法：

可能的原因及对应的解决办法 #

1. 未筛选RDP专属的登录类型 #

Windows的4624事件包含多种登录类型（比如本地登录、网络登录等），而RDP远程登录对应的是登录类型10（RemoteInteractive）。如果你之前的查询没有限定这个类型，要么会漏掉真正的RDP登录事件，要么会混入其他无关的登录事件导致你误以为没抓到目标登录记录。

解决办法：
在查询中明确筛选登录类型为10的4624事件，推荐用功能更强大的Get-WinEvent执行查询，示例命令如下：

# 同时获取RDP登录（4624+类型10）和注销（4634）事件，并提取关键信息
Get-WinEvent -FilterHashtable @{
    LogName = 'Security'
    Id = @(4624, 4634)
} | Where-Object {
    ($_.Id -eq 4624 -and $_.Properties[8].Value -eq 10) -or $_.Id -eq 4634
} | Select-Object TimeCreated, Id, @{Name='Username'; Expression={$_.Properties[5].Value}}

这段命令额外提取了用户名，能帮你快速对应同一用户的登录和注销事件。

2. 安全日志的登录审核策略未正确配置 #

虽然你能看到注销事件，但登录成功事件（4624）的审核可能没开启。要记录登录成功事件，必须确保审核策略里的「审核登录事件」开启了成功选项。

解决办法：

1. 按下Win+R输入secpol.msc打开本地安全策略
2. 依次展开：本地策略 > 审核策略 > 审核登录事件
3. 双击打开设置窗口，确认「成功」选项已勾选，点击「确定」保存配置

3. 安全日志已满，旧登录事件被覆盖 #

如果安全日志设置为「达到最大大小时自动覆盖旧事件」，较早的登录事件可能已经被后续产生的日志（包括注销事件）覆盖了，而注销事件是最近发生的，所以还能在日志中找到。

解决办法：

1. 打开事件查看器，定位到Windows日志 > 安全
2. 右键点击「安全」日志，选择「属性」
3. 适当增大「最大日志大小」（比如调整为1GB）
4. 可以切换为「归档日志而不覆盖事件」模式，这样日志满了会自动生成归档文件，不会丢失旧事件

4. 使用了老旧的Get-EventLog命令 #

Get-EventLog是较早期的cmdlet，处理大日志效率低，筛选逻辑也不够灵活，有时候会因为日志体积过大或筛选规则问题，漏掉部分事件。

解决办法：
直接改用Get-WinEvent命令，它的筛选能力更强，处理大日志的效率也更高，就是上面示例中用到的命令。

备注：内容来源于stack exchange，提问作者Liam Kelly