O Logon Tipo 10 é "Interativo Remoto", ou seja, o que acontece quando alguém tenta estabelecer uma sessão dos Serviços de Área de Trabalho Remota / Terminal com mstsc.exe ou Assistência Remota.
Alguém pode estar tentando fazer login em seu servidor pela Área de Trabalho Remota usando o nome de usuário Administrador e tentando adivinhar a senha.
Se você visualizasse os logs de eventos de segurança em MY_SERVER, seria possível ver de que endereço IP seu cara inteligente estava vindo.
Isso também poderia ser um caso inocente de "alguém legitimamente logado como Administrador há 100 dias, depois eles deixaram a sessão desconectada por um longo tempo, depois a senha do Administrador foi alterada e agora a sessão ociosa ainda está tentando reautenticar como administrador usando a senha antiga. "