Primeiro, verifique se a auditoria está ativada. Como habilitar logs de falha de auditoria no Active Directory?
Em seguida, use o log de eventos de segurança, filtre os eventos de logon da conta. (Você pode começar com 4624 (logon) e (4625 (logon falhou))
Confira o link e link para descobrir quais eventos são úteis para a auditoria que você está tentando realizar para sua organização.
Você terá que filtrar contas de serviço, etc. ou apenas filtrar suas contas de usuário. Você pode fazer isso no visualizador de eventos, se escrever um filtro XML personalizado.
Se você está procurando especificamente logins interativos, o evento 4624/4625 tem "tipo de login" como um campo, você vai querer filtrar por tipo 2: login interativo. Pode ser o tipo 3: login de rede, se você estiver coletando no DC. (Estou longe do escritório, alguém, por favor, verifique, estou perdendo minha sanidade depois de ler Logon e análise de logons de autenticação do controlador de domínio do Windows
Consulte o link como fazer essa parte.