Event ID 4625 für Remote Desktop

Guten Abend,

ich setze gerade einen graylog server auf, unter anderem um die windows events auszuwerten.
Auf dem Windows Server läuft nxlog für die Übermittlung der Event an graylog.

Das funktioniert soweit auch ganz gut, ich spiele noch ein bißchen mit den nxlog Filtern.
Dabei fiel mir an der Testmaschine folgendes auf:

Verbinde ich mich erfolgreich per RDP erhalte ich im Eventlog ein 4624, also erfolgreiches Login.
Gebe ich bewußt ein falsches Passwort ein, erwartete ich ein 4625, aber der kommt nicht.

Ein Gegentest an der lokalen Konsole der VM brachte aber mit einem falschen Passwort ein 4625.

Ich habe auch schon mal in den Events des Windows Terminal Servers \ Operational geschaut.
Hier sehe ich zwar einen Verbindungsversuch, aber keinen Fehllogin.

Hat jemand eine Idee, woran das liegen kann?

Grüße

Gregor

PS Hier noch die nxlog conf, der Query Teil:

<Input security_events>
    Module    im_msvistalog
    <QueryXML>
        <QueryList>
            <Query Id="0" Path="Security">  
                <Select Path="Security">*[System[(EventID=4624 or EventID=4625 or EventID=4656 or EventID=4657  
                    or EventID=4658 or EventID=4660 or EventID=4663
                    or EventID=4664 or EventID=4670 or EventID=4985
                    or EventID=5039 or EventID=5051)]]
                </Select>
            </Query>
        </QueryList>
    </QueryXML>
    Exec      to_json();
</Input>

<Input rdp_events>
    Module    im_msvistalog
    <QueryXML>
		<QueryList>
			<Query Id="0" Path="Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational">  
				<Select Path="Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational">*</Select>  
			</Query>
		</QueryList>
    </QueryXML>
    Exec      to_json();
</Input>