就如同您所查的文章一樣，依照保哥的方式查詢是不用額外花錢的方式，因為Windows本身的紀錄實在太不人性化了...不然就要尋求3rd的軟體了

或者您可以參考這篇看看，是否為您想要的
https://support.microsoft.com/zh-tw/help/556015

您好

您參考一下，我是使用PRTG 監控軟體，監控我公司AD主機中的log 針對evenid 4740 來監控。
當有帳戶鎖定就發通知給管理者，log 內容會有被鎖定的帳戶是由哪一台電腦嘗試登入AD。

我這邊的作法是利用事件ID來觸發工作排程器 Task Scheduler裡面的任務

帳戶鎖定是有固定的事件ID的，首先DC稽核登入記錄必須開啟，

之後故意鎖定一個測試帳戶

在事件檢視器右鍵，把這個事件ID加入排程，只要有任何帳戶被鎖定就會觸發執行排程

讓排程啟動Powershell,將鎖定的事件檢視器LOG送到指定的信箱內，用信件看誰被鎖了

是的你要寫一點簡單的程式，GOOGLE一下就有不難。

至於來源，基本上每次只要有帳戶登入出錯都可以像上面說的寄信，

但是公司人一多你就會收信收到死，到時候變成通知信都變放羊的孩子，

我之前這邊每天1百多封信在收，你還會想看? AD就是強項之一就是在帳戶SSO的部分

上天下地無所不串，來源有手機的Wifi，光Wifi就有高達80%都是他造成的

使用者的Windows登入，Linux的LDAP，網頁的登入服務，外網連回公司的VPN

Git內部的存取，來自MACBOOK的存取，遊戲機，平板電腦，

我追來源只能透過網卡MAC位置，然後告知使用者去找手機還是檢查電腦

或者叫使用者去找哪個後端平台的服務，看看是不是之前登入使用後沒有登出

找MAC位置的方法，土法煉鋼，某個使用者狂噴錯誤Log的時候，去AD上面撈封包

看封包裡面的MAC是多少