Windowドメインコントローラーサーバー上でログイン失敗時にEventID:4625のイベントログが残されている。連続ログイン失敗の場合にパスワードが試されている総当たり攻撃(例ウィルス感染で)にある可能性として調査する必要がある。
いろいろなイベントログからログイン失敗のみのログを割り出すために、イベントビュアーでEventID:4625を指定してログイン失敗の履歴一覧が出せる。
但しイベントビューアーの「フィルター」編集画面で特定のターゲットユーザーの指定ができない。ここで「XML」