Windows. Журнал событий.

Пользовательский фильтр журнала:

<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*
[EventData[Data[@Name='ProcessName'] and (Data='C:\Windows\System32\mstsc.exe')]]
or *[EventData[Data[@Name='NewProcessName'] and (Data='C:\Windows\System32\mstsc.exe')]]</Select>
</Query>
</QueryList>