Hi,
am besten im Windows Agenten. Her musst du die Anpassungen in der yaml Datei vornehmen, siehe check_mk.user.yaml 
logwatch:
# enabled: yes
# sendall: no # this is MANDATORY
# vista_api: no # this is RECOMMENDED
# max_size: 500000 # default value
# entries in the windows eventlog
logfile:
# - 'EventLogName': <crit|warn|all|off> + [context|nocontext]
# - 'Application': crit context # example
# - 'System': warn nocontext # another example
# - 'YourOwn': all nocontext # yet another example
# - '*': warn nocontext # This is default params for not missing entries
'Log DFS Replication': crit nocontext # Hier das Beispiel für deinen Fall
Ich hoffe es hilft dir weiter.
Viele Grüße, Christian