Eu sempre uso o powershell para esse tipo de coisa; há muitos cmdlets que ajudam a extrair esses dados de maneira útil e há inúmeros scripts on-line que podem obter o que você precisar.
Observação : testei isso no Windows 8 e no Server 2012 e eles funcionam bem. Você não especificou um sistema operacional. Você também precisará executar o Powershell como administrador.
O método mais simples é procurar em Visualizador de Eventos (eventvwr.exe) e clicar com o botão direito - > Propriedades no log que você deseja analisar. Encontre o Caminho do log e você pode consultar o log da seguinte forma:
get-winevent -path <full_path_to_logfile.evtx>
Como exemplo, você pode experimentar este, que deve existir em sua máquina Windows:
get-winevent -path C:\Windows\System32\winevt\Logs\Security.evtx
Get-winevent é um cmdlet integrado, portanto, você deve disponibilizá-lo. Você pode usar a lógica normal do PowerShell para remover apenas as partes que desejar ou canalizá-las para um arquivo ou muitas outras coisas divertidas. Espero que isso ajude!