Seguindo quem instalou o Softwaire no server

Eu estou correto, que se um programa estiview instalado em um Servidor e apairecer no 'Adicionair Programas de Remoview / Programa', ele deve ter sido instalado quando um user fez logon no server no console físico ou usando o RDP e não quando um user accessu o server através de um compairtilhamento?

E se assim for, então isso deve apairecer como 528 do Evento ID.

Em outras palavras, se eu apenas olhair paira Evento ID 528, posso obter uma list de suspeitos. Isso é correto?

Em geral, sim. Você provavelmente quer view o tipo de logon também paira determinair como o user accessu o server. Estou pensando que você deseja procurair logon dos types 2, 10 e possivelmente 5.

Isso abrangerá os casos de uso mais típicos, no entanto, os aplicativos podem ser instalados por processs remotos (como PSExec, scripts por lotes ou uma ferramenta de deployment remota, como CA Unicenter). Eles não serão necessairiamente logair esse código de evento.

O que você descreve é ​​um bom lugair paira começair, no entanto.