Primeiro, você precisa verificar se está realizando a auditoria dos eventos de desbloqueio, que não estão ativados por padrão.
No GPO, ative Configuração do computador > Configurações do Windows > Configurações de segurança > Política de auditoria avançada > Política de auditoria do sistema > Logon / Logoff > Auditoria de outros eventos de logon / logoff
Depois disso, faça um acionador que procure o ID de evento 4801 no log de segurança e ele deverá detectá-lo. Como alguém mencionou, você precisará de outro gatilho para o logon se quiser que isso aconteça também.