Connexions auditées sous Windows 2003 server

Bonjour à tous,

En vue d'auditer les ouvertures et fermetures des utilisateurs de mon domaine, j'ai activé la stratégie d'audit suivant : Auditer les événements de connexion aux comptes

Dans l'observateur d'évènements de mon contrôleur de domaine, j'ai les évènements de sécurité suivants (export depuis l'observateur d'évènements, puis remanié):

Date	Heure	Événement	Utilisateur	Ordinateur
01/03/2011	18:49:02	538	user	ZEUS
01/03/2011	18:48:39	538	user	ZEUS
01/03/2011	18:48:31	540	user	ZEUS
01/03/2011	18:48:28	538	user	ZEUS
01/03/2011	18:48:28	538	user	ZEUS
01/03/2011	18:48:28	540	user	ZEUS
01/03/2011	18:48:28	540	user	ZEUS
01/03/2011	18:48:28	540	user	ZEUS
01/03/2011	18:48:28	540	user	ZEUS
01/03/2011	18:48:24	538	user	ZEUS
01/03/2011	18:48:13	540	user	ZEUS

Ce qui m'interpelle, c'est que en 2 secondes j'ai tant d'évènements 538 et 540 pour le même utilisateur.

D'après ce site: https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2003/cc787567(v=ws.10)?redirectedfrom=MSDN
538 correspondrait à "Le processus de déconnexion est terminé pour un utilisateur."
540 correspondrait à "Un utilisateur a réussi à se connecter à un réseau."

Question 1 : Est ce normal ?

Question 2 : Ai je bien activé la bonne stratégie d'audit (Auditer les événements de connexion aux comptes) ?

Question 3 : Est ce que par hasard cela ne serait pas lié au problème suivant :
https://forums.commentcamarche.net/forum/affich-15638551-debrancher-rebrancher-rend-le-ping-possible ?

cordialement
lnj