В данном случае нас интересуют события с EventID 4740 (A user account was locked out …) МЫ можем отфильтровать события по определенной машине, тем самым отследив locked out с четко указанного источника, для этих целей можно использовать query фильтр,следующего содержания:
<QueryList>
<Query Id="0" Path="ForwardedEvents">
<Select Path="ForwardedEvents">*[System[(EventID=4740)]]
and
*[EventData[Data[@Name ='TargetDomainName'] and (Data='Windows7')]]
</Select>
</Query>
</QueryList>