как забикс агентом инициировать событие блокировки разблокировки экрана?

Ты наверное имел в виду не инициировать, а обнаружить.

https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4800

это я так понимаю всеравно идет к тому что лопатить лог файлы событии ОС

Я запутался. Не понимаю чего ты хочешь получить с рабочей станции. Событие входа? Смотри лучше DC, будет проще.

Блин, блокировка экрана... не хочу в этом участвовать. =D

вход выход просто раобрался а вот блок разблок например через win+L

Вы уже выбирете как вы хотите решить проблему

если у вас есть ваши скрипты, которые вы хотите запускать, то просто сделайте правило в планировщике, что бы по событию запускались ваши скрипты, и отправляли данные к примеру в заббикс, через заббикс сендер

если надо средствами заббикса сделать, то используйте eventlog или log ключи для сбора логов, средствами заббикса

Проще может и будет, но тогда полученные данные будут относиться не к узлу, а к серверу. Та ещё радость.

если в логах такой информации нет, то скорее всего никак

Существует консольная команда, делающая Win+L

разве при блокировке экрана, не нужно потом вводить пароль для входа в ПК, и как следствие у вас логи будут о входе ?

именно... но скрипты срабатыват с политиками групп безопасности что не поволяет скрипт отработать нормально... если запускаю через ад указывая в политике то получаю только первый вход и завершение работы без блок разблок учетки (

Решение вашей проблемы, это программа аудита на подобие стохановца, она умеет всё, для аудита рабочего времени, и чем человек занимается.....

Вы делаете групповую политику, закинуть скрипт + задачу в планировщик( задача работает по событию), если есть событие на ПК, что есть вход/выход, запускать скрипт, так не устроит ?

событие должно быть в логе на клиентском ПК

это я читал... оно за бабки )

хочу свое и надо только время и все ) потом посчитаю и табличку сформирую информативную )

если вы про стахановец, то есть куча других вариантов, возможно платные, что то дешевле, что то дороже, тут либо самим мучиться и идти на компромисы, либо ставить софт за бабки и получать все из коробки

Шедуллер по событию работает не всегда. На обновленной десятке по настроению. Думаю это зависит от нагрузки, если система средняя или слабая, будет глючить такое задание. На "самолётах" наверно не будет.

ну так собирайте логи с компов, я не понимаю нафига вам скрипты, взяли кучу событий, первое и последнее событие, это ваше время "работы" время входа/выхода, если комп выключается в конце рабочего дня, вы уже сами думайте в какой логике у вас должно определяться, когда человек начал работать, а когда закончил

если я отталкиваюсь от ситуации, в начале рабочего дня ПК включается, перед уходом ПК выключается (может быть при неактивной работе в сон, потом на выключение), то я собираю лог (вход в ПК, и выход, либо не доступность ПК), потом свожу эти метрики и получаю время "работы"