Ciao.
Forse credo che sia meglio mantenerne traccia nel DB, memorizzando l'ID di sessione, l'ultimo accesso (data-ora) e l'user_id e poi chiamare un metodo che ad ogni logout ripulisca la tabella secondo un determinato intervallo di tempo.
I cookies rischiano di essere cancellati o per niente salvati.