As versões mais recentes do Windows permitem um controle mais granular dos eventos de auditoria usando políticas ou auditpol.exe mas mesmo assim você só pode selecionar" subcategorias "completas e não tipos de logon de evento únicos.
Se você precisar de um filtro mais granular, provavelmente precisará recorrer a alguma solução de servidor de log externo. Você pode usar o Snare Agent para coletar, filtrar e encaminhar seus eventos para um servidor syslog como syslog Kiwi .