Logon Tracker (github.com/JPCERTCC/LogonTracer) - это инструмент позволяющий отследить несанкционированный вход в систему путем визуализации и анализа журналов событий Windows Active Directory. Это решение связывает имя хоста (или IP-адрес) и имя учетной записи, найденные в событиях, связанных с входом в систему, и отображает их в виде графика. Таким образом, можно увидеть, в какой учетной записи происходит попытка входа в систему и какой хост использовался.