Por que não o PowerShell? Algo como isso deve começar:
Get-EventLog -LogName Security -Newest 1000 | Where-Object {$_.EventID -eq 4624 -or 4634 } | ForEach-Object { $_.Message -split '\n' } | Select-String "Account Name"
Você precisará da sua Política de auditoria definida adequadamente então o Windows registrará os eventos em primeiro lugar (por que isso não é uma configuração padrão está além de mim). Além disso, você desejará usar EventIDs diferentes ( 528
e 540
) para o Windows Server 2003.