index=* (EventCode=4624 OR EventCode=4672) Logon_Type=3 NOT user="*$" NOT user="ANONYMOUS LOGON"
| stats count BY dest src_ip dest_nt_domain user EventCode
| sort count
Recherche toutes les tentatives de connexion réussies en RDP (code d'événement 4624) ou lorsqu'une personne disposant de droits de niveau administrateur s'est connectée en RDP (code d'événement 4672).