Sua ideia é boa.
Habilite os eventos de logon de auditoria no gpedit, verifique se você verificou todas as duas opções: sucesso e falha.
Vá para o Visualizador de Eventos. Logs do Windows > Segurança.
Procurando eventos com a ID do evento 4624 - eles representam eventos de login bem-sucedidos.
Enquanto isso, filtre a identificação de evento 4625 para ver tentativas malsucedidas ou a identificação de evento 4634 para ver quando o usuário fez logoff.
Como ver quem fez login em um computador (e quando)