Событие с кодом 4800 должно соответствовать рабочей станции, которая была заблокирована, и аналогично, событие с кодом 4801 должно соответствовать рабочей станции, которая была разблокирована.
Если вы не видите их в средстве просмотра событий, для записи будущих событий попробуйте открыть редактор локальной групповой политики (Start / Run / gpedit.msc
), перейдя к:
Конфигурация компьютера / Конфигурация Windows / Параметры безопасности / Конфигурация расширенной политики аудита / Политики аудита системы - Объект локальной групповой политики / Вход / Выход из системы / Аудит Другие события входа / выхода из системы
и включение флажков для успеха и неудачи: