Запрос в Splunk для определения списков ошибок авторизации

Установленная задача:
Ответственному товарищу раз в сутки должно приходить письмо со списком ошибок авторизации на почтовых серверах организации.
Метод решения задачи:
- Использовать находящийся под рукой Splunk, настроить отчеты и триггеры отправки отчетов.
- Запрос для англоязычной ОС:

(host="<ИМЯ_СЕРВЕРА>") eventtype=wineventlog_security ("Account_Name"!="-" AND "Account_Name"!=" ") ("Caller_Process_Name"!="*MSExchangeMailboxAssistants.exe") EventCode=4625
| eval TargerAccountName = mvindex('Account_Name',1)
| table _time,TargerAccountName,"Source_Network_Address",Caller_Process_Name

- Запрос для русскоязычной ОС:

(host="<ИМЯ_СЕРВЕРА>") eventtype=wineventlog_security ("Имя учетной записи"!="-" AND "Имя учетной записи"!=" ") ("Имя процесса вызывающей стороны"!="*MSExchangeMailboxAssistants.exe") EventCode=4625
| eval TargerAccountName = mvindex('Имя учетной записи',1)
| table _time,TargerAccountName,"Сетевой адрес источника","Имя процесса вызывающей стороны"

- Создать отчёты (Reports)
- Создать запланированную задачу на отчёт и отправлять отчет по электронной почте

Объединить запрос для любого языка ОС пока не удалось. Если есть чем - поделитесь, пожалуйста)

upd: скорректировал запрос для русскоязычной ОС