4800 ワークステーションのロック

ワークステーション（画面）がロックされたときに記録される。ユーザーの在席状況や、セッションの利用区間を把握する補助イベント。

概要

サブカテゴリは Audit Other Logon/Logoff Events。ユーザーが画面をロックする（Win+L、無操作によるロック等）と生成される。ロック解除 4801 と対で、在席/離席の流れを追う。

発生契機・方法

手動ロック（Win+L）、スクリーンセーバーや無操作タイムアウトによる自動ロック。

セキュリティ上の確認事項

ロック/解除のパターンは、そのアカウントが実際に人によって使われている時間帯の把握に役立つ。ロックされているはずの時間帯にそのアカウントで活動（ログオンやアクセス）があれば、別経路での利用を疑う材料になる。
単体での security 優先度は低いが、対話セッションのタイムライン補強に使える。

ログレビュー時の注意観点

日常的に大量発生する。単体で見るより、ロック解除 4801・ログオン 4624・ログオフと併せて在席タイムラインを作るのに使う。
端末ごと・アカウントごとの正常な利用パターンを把握しておく。

主なフィールド

フィールド	意味
`Target Account\Account Name`	画面をロックしたアカウント
`Session ID`	対象セッション

参考

Microsoft Learn: 4800(S) The workstation was locked.