状況 
「イベント ID」が 4672 の Special Logon だと screen unlock のタイミングが記録されてない場合があるのと、screen lock の状態でもイベントが発火している事例が多数ある。
「windows event screen unlock」でググってみたところ、
これらの記録されたイベントを一覧するには、以下のようにすればよかった。
もう少し詳しく表示するなら以下のように
ただし、なぜか、「ローカル セキュリティ ポリシー」(secpol.msc)→「監査ポリシーの詳細な構成」→「システム監査ポリシー - ローカル グループ ポリシー オブジェクト」以下にある、について以下のイベント
secpol.msc の表示ではこれらは元々「未構成」だったと思うのだがなぜ???
とりあえず手動で構成しておいたが、表示は「未構成」ではなく「成功」とか「成功および失敗」になってしまった。
これ元通り、デフォルトの未構成の状態で記録が残るようにするにはどうすればいいのか?
「windows event screen unlock」でググってみたところ、
- 4800: screen lock
- 4801: screen unlock
- Microsoft / Learn / Documentation / Security Audit Policy / Reference Advanced Security Audit Policy Settings / Account Logon / Audit Other Account Logon Events
- stackoverflow / 2012-07-08: Eventviewer eventid for lock and unlock
これらの記録されたイベントを一覧するには、以下のようにすればよかった。
Get-WinEvent Security |? {(4800,4801) -contains $_.Id}
もう少し詳しく表示するなら以下のように
Get-WinEvent Security |? {@(4801,4624,4672) -contains $_.Id} |? {$_.GetPropertyValues([System.Diagnostics.Eventing.Reader.EventLogPropertySelector]::new([String[]]@('Event/EventData/Data[@Name="TargetUserName"]'))) -eq ${Env:USERNAME}} |% { "{0} {1} {2} {3} {4}" -f $_.TimeCreated.ToString("yyyy-MM-dd HH:mm:ss"),$_.GetPropertyValues([System.Diagnostics.Eventing.Reader.EventLogPropertySelector]::new([String[]]@('Event/EventData/Data[@Name="TargetUserName"]')))[0],$_.Id,$_.TaskDisplayName,($_.Message -split "`n")[0]}
ただし、なぜか、「ローカル セキュリティ ポリシー」(secpol.msc)→「監査ポリシーの詳細な構成」→「システム監査ポリシー - ローカル グループ ポリシー オブジェクト」以下にある、について以下のイベント
- システム
- セキュリティ状態の変更 : 成功
- システムの整合性 : 成功、失敗
- その他のシステム イベント : 成功、失敗
- ログオン/ログオフ
- ログオン : 成功、失敗
- ログオフ : 成功
- アカウント ロックアウト : 成功
- 特殊なログオン : 成功
- ネットワーク ポリシー サーバー : 成功、失敗
- ポリシーの変更
- ポリシーの変更の監査 : 成功
- ポリシーの変更の認証 : 成功
- アカウント管理
- ユーザー アカウント管理 : 成功
- セキュリティ グループ管理 : 成功
secpol.msc の表示ではこれらは元々「未構成」だったと思うのだがなぜ???
とりあえず手動で構成しておいたが、表示は「未構成」ではなく「成功」とか「成功および失敗」になってしまった。
これ元通り、デフォルトの未構成の状態で記録が残るようにするにはどうすればいいのか?