Фильтр EventLog

Стандартный фильтр EventLog в windows позволяет фильтровать события по очень скудным параметрам, для более точной фильтрации необходимо использовать самописные XML запросы. Вот например XML запрос, который фильтрует Security лог по параметрам:
EventID 4624 или 4634
Содержит запись IpAddress 192.168.1.254

Блокировка аккаунта в AD

Если учётная запись в домене AD регулярно блокируется, а в EventLog на контроллере домена или сервере не отображается компьютер на котором она была заблокирована, то необходимо включить расширенное логирование событий: