Con la llegada de Windows 2008 en nuestro visor de eventos aparecen por defecto un montón de nuevos sucesos. Esto hace a veces difícil localizar lo que estamos buscando. Una buena manera de ir a por algo en concreto es usar las "Vistas personalizadas"
Luego le damos a "Crear vista personalizada.." dando botón derecho en "Vistas personalizadas"
Aquí dejo dos ejemplos, uno de intentos de autentificación fallidos las últimas 24h y el otro son las máquinas que se han intentado autentificar en nuestro AD y no pertenecen a ningún rango definido en nuestro "Sitios y servicios" de nuestro AD
GoN