Ouvi dizer que há um log que posso visualizar no visualizador de eventos que vem da fonte IIS-FTP com o ID de evento 13. Este ID de evento indica tentativa de logon com falha em um servidor FTP (executando com IIS 10 e o log está habilitado). Por alguma razão, o servidor FTP não parece gerar esses eventos para um arquivo evtx, mas apenas para um arquivo de texto localizado em C:\inetpub\logs\LogFiles\FTPSVC.
Como posso ativar o registro no formato de arquivo evtx e onde posso visualizar esses eventos no visualizador de eventos?
Você pode converter os logs FTP (texto) do IIS com a ferramenta "Log Parser" da Microsoft para evtx e, em seguida, abrir esse evtx usando o console de gerenciamento do visualizador de eventos. Log Parser trabalha com consultas, este é um exemplo de consulta para transformá-las em evtx
https://www.microsoft.com/en-us/download/details.aspx?id=24659
Para ir um pouco mais longe, você também pode ingeri-lo diretamente nos logs de eventos do Windows usando uma fonte de log de eventos personalizada e um analisador de log.