Alterações feitas nos logs de auditoria do Active Directory iniciando no Windows Server 2008

Peço desculpas por fazer uma pergunta em um sistema operacional muito antigo:

Um cliente com o qual trabalho tem os controladores de domínio do Windows Server 2008 R2 e do Windows Server 2012. No entanto, eles ainda estão operando em um nível funcional de Domínio e Floresta do Windows Server 2003 (sim, isso é ruim, em fim de vida e não é suportado, além de um trabalho em andamento para convencê-los a elevá-lo).

Eles estão tentando recuperar registros relacionados a uma alteração em uma conta de usuário do diretório ativo. Eu sei que houve uma variedade de aprimoramentos feitos para log de eventos começando com o Windows Server 2008 para registrar mais informações sobre quais atributos foram modificados, etc e Tenho certeza que o esquema precisava ser elevado para o log de eventos para gravar esses outros elementos e atributos.

O cliente com o qual estou trabalhando está procurando documentação para esse efeito, e estou tendo muita dificuldade em encontrar documentação oficial da Microsoft sobre os aprimoramentos no log de eventos.

Alguém pode confirmar que este é o caso, ou apontar-me na direção de onde essas alterações são registradas pela Microsoft?