Немного поздновато, но всё-же... В принципе, если в GPO не настроены толком логи, то много чего важного не увидите, но всё-же. Есть возможность поднять эластиксёрч и туда загнать логи от винды. Есть свои плюсы и минусы, по сравнению с тем же журналом событий. В эластиксёрче видны события по времени и легко искать, к тому же можно с помощью фильтров сразу несколько событий по ID фильтровать. Но жрёт просто проц и наскоком в нём не разобраться. Да и тут вот чисто технически.