Você pode ativar a auditoria por meio da política de grupo, há opções para auditar logins bem-sucedidos e mal-sucedidos. Lembre-se de que, se você tiver mais de um DC, os logons poderão ser manipulados por qualquer um deles, portanto, um usuário poderá fazer login no DC 1 hoje e no DC 2 amanhã. Além disso, serviços, aplicativos e outras coisas produzem auditorias de login, por isso tendem a ficar um pouco confusas.
Você encontrará as auditorias no log de segurança no visualizador de eventos (nó de logs do Windows em 2008).