Следующую конструкцию удобно использовать для поиска по логам.

Можно указать, как в примере, не только основные журналы, но и те, что находятся в подпапках «Журналы приложений и служб». Также можно ограничить глубину поиска по времени.

$StartTime = (Get-Date).AddHours(-1)
$LogName = "AD FS Tracing/Debug"
((Get-WinEvent -Oldest -FilterHashtable @{LogName=$LogName; StartTime=$StartTime}) | ?{$_.Message -match 'username'} )

Ключ -Oldest необходим для просмотра некоторых журналов
(тех, что хранятся в формате .etl и .evt).
Он определяет порядок чтения событий.
Временные рамки поиска в данном примере задаются переменной $StartTime.

Также в примере я выполняю поиск по тексту для найденных в журналах записей. В данном случае в рамках журнала ADFS получаю попытки подключения пользователя.