Saindo da discussão nos comentários, você pode pesquisar o log de eventos usando o Powershell.
Get-EventLog security | Where-Object {$_.TimeGenerated -gt '9/15/16'} | Where-Object {($_.InstanceID -eq 4634) -or ($_.InstanceID -eq 4624)} | Select-Object Index,TimeGenerated,InstanceID,Message
-
Get-EventLog
permite acessar o log de eventos, especificamente os logs de segurança - O primeiro
Where-Object
especifica que você deseja registros que sejam mais recentes que a data fornecida - O segundo
Where-Object
especifica os dois IDs de evento nos quais você está interessado -
Select-Object
nos permite apenas retornar colunas que estamos interessados em ter na saída
Você provavelmente precisará executar isso a partir de uma instância elevada do Powershell, já que isso está acessando o registro do Windows.