Primeiro, a auditoria de falhas de logon precisa ser ativada. Por uma questão de prática, eu sempre a coloquei em uma política de domínio padrão forçada, mas você deve pelo menos aplicá-la a seus controladores de domínio. A entrada é chamada de Eventos de Logon da Conta de Auditoria e só é padronizada para registrar o Success por algum motivo. Informações sobre essa configuração estão disponíveis no site da Microsoft Technet aqui.
Quando isso estiver ativado, os logs de segurança do controlador de domínio que estão processando o login deverão conter as informações necessárias. Especificamente, verifique se há auditorias de falha de eventos de logon / logoff. O nome de usuário deve ser uma coluna chamada Usuário que você pode classificar / filtrar para facilitar a pesquisa.