Следующую конструкцию удобно использовать для поиска по логам.
Можно указать, как в примере, не только основные журналы, но и те, что находятся в подпапках «Журналы приложений и служб». Так же можно ограничить глубину поиска по времени

$StartTime = (Get-Date).AddHours(-1)
$LogName = "AD FS Tracing/Debug"
((Get-WinEvent -Oldest -FilterHashtable @{LogName=$LogName; StartTime=$StartTime}) | ?{$_.Message -match 'username'} )

Ключ Oldest необходим для просмотра некоторых журналов
(тех, что хранятся в формате .etl and .evt)
Он определяет сортировку вывода событий, и в данном случае нужен для того, что бы захватывать именно последние логи, за указанный промежуток времени.

Так же в примере я произвожу поиск по тексту для найденных в журналах записей. В данном случае, в рамках журнала ADFS, получаю попытки подключения пользователя