Procure no log de eventos de segurança para um evento de logon / logoff 528, tipo de logon 10
Você também pode configurar uma Política de Auditoria usando o editor de Política de Grupo para registrar o sucesso e as falhas de logon. Vá para Executar e digite gpedit.msc
Política de computador local - > Configuração do Computador - > Configurações do Windows - > Configurações de segurança - > Políticas locais - > Políticas de Auditoria - > Auditoria de eventos de logon. Clique com o botão direito e selecione as propriedades. Configure como quiser.