Intanto devi abilitare l'auditing dei login tramite i criteri di gruppo (come spiegato qui, guarda solo il primo paragrafo), quindi devi esaminare il file del registro eventi protezione, situato in %systemroot%\system32\config e dal nome SecEvent.Evt; purtroppo si tratta di un file binario di cui non ti so dire la struttura, prova a cercare con Google...