Windows 版 Privileged Identity Manager ( 以下、 PIM) の監査ログで、ユーザがログインした時に lsass.exe のエントリが記録されない。
通常以下のようなログが記録されると認識している。
( <server> はエンドポイントで <user> はログインユーザになる )

TIMESTAMP P LOGIN <user> 59 2 <server> C:\Windows\System32\lsass.exe 

Privileged Identity Manager: Windows 版の全バージョン

Privileged Access Manager Server Control: Windows 版の全バージョン

大概の場合、 %SystemRoot%\system32\eACSubAuth.dll が eACSubAuth.dll.old などに変更されたり、削除されていて lsass.exe がログイン中にインターセプトができなくなっている可能性が高いです。
名前を戻すと元のように監査ログに記録されるようになりました。

本KBは以下の英文 KB を翻訳し加筆、修正しました。

Article ID:  5949: Missing lsass.exe entries in seaudit