PIB

• 20200325: PowerShell - ログオン・ロック解除時刻の取得

「イベント ID」が 4672 の Special Logon だと screen unlock のタイミングが記録されてない場合があるのと、screen lock の状態でもイベントが発火している事例が多数ある。
「windows event screen unlock」でググってみたところ、

• 4800: screen lock
• 4801: screen unlock

との事だが、これはデフォルトの local security policy で記録が有効になってないので記録されてないんだそうで、これを記録するためには「ローカル セキュリティ ポリシー」(secpol.msc)→「監査ポリシーの詳細な構成」→「システム監査ポリシー - ローカル グループ ポリシー オブジェクト」→「ログオン/ログオフ」以下にある「その他のログオン/ログオフ イベントの監査」で「成功」について「次の監査イベントを構成する」にチェック入れとけとの事。

• Microsoft / Learn / Documentation / Security Audit Policy / Reference Advanced Security Audit Policy Settings / Account Logon / Audit Other Account Logon Events
• stackoverflow / 2012-07-08: Eventviewer eventid for lock and unlock

これらの記録されたイベントを一覧するには、以下のようにすればよかった。

Get-WinEvent Security |? {(4800,4801) -contains $_.Id}

もう少し詳しく表示するなら以下のように

Get-WinEvent Security |? {@(4801,4624,4672) -contains $_.Id} |? {$_.GetPropertyValues([System.Diagnostics.Eventing.Reader.EventLogPropertySelector]::new([String[]]@('Event/EventData/Data[@Name="TargetUserName"]'))) -eq ${Env:USERNAME}} |% { "{0} {1} {2} {3} {4}" -f $_.TimeCreated.ToString("yyyy-MM-dd HH:mm:ss"),$_.GetPropertyValues([System.Diagnostics.Eventing.Reader.EventLogPropertySelector]::new([String[]]@('Event/EventData/Data[@Name="TargetUserName"]')))[0],$_.Id,$_.TaskDisplayName,($_.Message -split "`n")[0]}

ただし、なぜか、「ローカル セキュリティ ポリシー」(secpol.msc)→「監査ポリシーの詳細な構成」→「システム監査ポリシー - ローカル グループ ポリシー オブジェクト」以下にある、について以下のイベント

• システム
  • セキュリティ状態の変更 : 成功
  • システムの整合性 : 成功、失敗
  • その他のシステム イベント : 成功、失敗
• ログオン/ログオフ
  • ログオン : 成功、失敗
  • ログオフ : 成功
  • アカウント ロックアウト : 成功
  • 特殊なログオン : 成功
  • ネットワーク ポリシー サーバー : 成功、失敗
• ポリシーの変更
  • ポリシーの変更の監査 : 成功
  • ポリシーの変更の認証 : 成功
• アカウント管理
  • ユーザー アカウント管理 : 成功
  • セキュリティ グループ管理 : 成功

について「削除されました」というイベントログが記録され、その後 4672 : Special Logon をはじめとして、これまで記録されていたこれらのイベントが記録されなくなってしまった。
secpol.msc の表示ではこれらは元々「未構成」だったと思うのだがなぜ？？？
とりあえず手動で構成しておいたが、表示は「未構成」ではなく「成功」とか「成功および失敗」になってしまった。

これ元通り、デフォルトの未構成の状態で記録が残るようにするにはどうすればいいのか？