Le sessioni c'entrano poco in questo caso.
con la sessione propaghi alcuni dati, riferiti all'utente, dimodoché sia possibile controllare (in tutte le pagine con accesso ristretto) se quell'utente è abilitato alla visualizzazione o meno.

Per fare quello che serve a te, devi creare una nuova tabella del DB, che chiamo ad esempio log_utenti.

Nello script che esegue il login dell'utente, se il login avviene con successo, vai a compilare la tabella inserendo, per esempio, il nome utente, l'indirizzo IP, la data di accesso comprensiva di tempo al secondo (in timestamp) e tutte le altre informazioni.
Nello script che invece esegue il logout, vai ad aggiornare quel rigo di tabella semplicemente con il timestamp dell'uscita.