Acabei de terminar uma chamada com a Microsoft exatamente sobre isso, portanto espero que as informações a seguir ajudem:)
Tentativas de autenticação podem acontecer em alguns pontos, e especialmente se você estiver usando a autenticação PEAP para conexões sem fio, a negociação de autenticação também ocorre por meio do serviço EAPHost.
O serviço EAPHost que eu encontro não possui um fantástico registro de autenticação (na verdade, é miserável - arquivo de rastreamento), portanto, se por alguma razão a autenticação falhar no EAPHost, a tentativa de falha de autenticação é registrada usando os eventIDs de autenticação genéricos no log de eventos e nada no IAS Logs.
O que descobrimos foi que um servidor RADIUS recém-construído estava registrando muito mais informações nos logs do IAS do que o nosso sistema de produção. Eu passei por um registro reconfigurado através do log de configuração para incluir informações contábeis (marque todas as caixas no assistente!), Reiniciei o serviço e descobri que todos os eventos IAS ausentes estavam sendo registrados, incluindo endereços MAC e SSIDs nos arquivos de log do IAS.
Espero que isso possa ajudar:)