Pues para eso pones el codigo en el evento Session_end, que se ejecuta cuando finaliza la sesion, la cierre el usuario explicitamente o no.
Supongo que los usuarios que quieres saber si están online están en tu base de datos, por lo que en realidad la activación del campo online la puedes realizar en el mismo procedimiento almacenado que valida el nombre de usuario y la password.
En cuanto a restablecer el valor del campo cuando se cierra la sesion, la unica forma segura sería esa, la de ponerla en el session_end, accediendo al nombre de usuario (que se supone UNIQUE en tu bd) de la forma:

if not (HttpContext.Current.User is nothing) then
if HttpContext.Current.User.Identity.IsAuthenticated then

o similar.

Salu2