4802 スクリーンセーバーの起動

スクリーンセーバーが起動したときに記録される。無操作（離席）の検知に使える、在席タイムラインの補助イベント。

概要

サブカテゴリは Audit Other Logon/Logoff Events。無操作タイムアウト等でスクリーンセーバーが起動すると生成される。解除 4803 と対で、離席～復帰を追う。

発生契機・方法

無操作タイムアウトによるスクリーンセーバーの起動。

セキュリティ上の確認事項

ユーザーが離席している（はずの）時間帯の把握に使える。スクリーンセーバー起動中にそのアカウントで操作が発生していれば、別経路での利用を疑う材料になる。
単体での security 優先度は低い。

ログレビュー時の注意観点

日常的に発生する。解除 4803・ロック 4800 と併せて在席状況を補完する。
環境によっては監査対象外のことも多い。

主なフィールド

フィールド	意味
`Target Account\Account Name`	対象アカウント
`Session ID`	対象セッション

参考

Microsoft Learn: 4802(S) The screen saver was invoked.