Utilizarea Log Parser pentru încercările de conectare la Desktop la distanță

Încerc să găsesc o modalitate de a returna numărul de top x de adrese IP care încearcă să se autentifice la Desktop la distanță pe unele casete Windows 2016 și 2019 pentru ID-ul evenimentului 140, de exemplu, Data curentă.

Bineînțeles, pot vedea adresa IP făcând clic pe intrare și citind caseta de mai jos, dar chiar aș dori să știu cine sunt băieții răi persistenti, mai degrabă care să-i parcurg pe toți.

Am avut un oarecare succes folosind Log Parser împotriva jurnalelor IIS, dar nu găsesc informații utile online pentru returnarea datelor din Jurnalul de evenimente.

Știu că există câteva soluții pentru Remote Desktop (limitați IP-urile de conectare, numai rețeaua internă, schimbați portul implicit pentru Remote Desktop...) și numai rețeaua internă este setată pentru multe dintre ele, în special pentru cele compatibile PCI, dar un puțini folosesc implicit.

Orice indicații ar fi apreciate :-)