Freigeben über


Verwenden des EventCombMT-Hilfsprogramms zum Durchsuchen von Ereignisprotokollen nach Kontosperrungen

In diesem Artikel wird beschrieben, wie Sie das EventCombMT-Hilfsprogramm (EventCombmt.exe) verwenden, um die Ereignisprotokolle mehrerer Computer nach Kontosperrungen zu durchsuchen.

Ursprüngliche KB-Nummer: 824209

Weitere Informationen

EventCombMT ist ein Multithread-Tool, mit dem Sie die Ereignisprotokolle mehrerer verschiedener Computer nach bestimmten Ereignissen durchsuchen können, alles von einem zentralen Ort aus. Sie können EventCombMT so konfigurieren, dass die Ereignisprotokolle in sehr detaillierter Weise durchsucht werden.

Im Folgenden sind einige der Suchparameter aufgeführt, die Sie angeben können:

  • Einzelne Ereignis-IDs
  • Mehrere Ereignis-IDs
  • Eine Reihe von Ereignis-IDs
  • Eine Ereignisquelle
  • Spezifischer Ereignistext
  • Wie viele Minuten, Stunden oder Tage zurück zum Scannen

Einige bestimmte Suchkategorien sind integriert, z. B. Kontosperrungen. Die Kontosperrungssuche ist vorkonfiguriert, um Ereignis-IDs 529, 644, 675, 676 und 681 einzuschließen. Darüber hinaus können Sie die Ereignis-ID 12294 hinzufügen, um nach potenziellen Angriffen auf das Administratorkonto zu suchen.

Laden Sie zum Herunterladen des EventCombMT-Hilfsprogramms Kontosperrung und Verwaltungstools herunter. Das EventCombMT-Hilfsprogramm ist im Download von Kontosperr- und Verwaltungstools (ALTools.exe) enthalten.

Führen Sie die folgenden Schritte aus, um die Ereignisprotokolle nach Kontosperrungen zu durchsuchen:

  1. Starten Sie EventCombMT.

  2. Klicken Sie im Menü "Optionen " auf "Ausgabeverzeichnis festlegen", wählen Sie einen vorhandenen Ordner aus, oder klicken Sie auf "Neuer Ordner ", um einen neuen Ordner zum Speichern der Ausgabe zu erstellen, und klicken Sie dann auf "OK".

    Notiz

    Wenn Sie kein Ausgabeverzeichnis angeben, lautet der Standardspeicherort "C:\Temp".

  3. Zeigen Sie im Menü "Suchen " auf "Integrierte Suchen", und klicken Sie dann auf "Kontosperrungen".

    Alle Domänencontroller für die Domäne werden im Feld "Zur Suche auswählen/Rechtsklick zum Hinzufügen " angezeigt. Außerdem wird im Feld "Ereignis-IDs " angezeigt, dass Ereignis-IDs 529, 644, 675, 676 und 681 hinzugefügt werden.

  4. Geben Sie im Feld "Ereignis-IDs " ein Leerzeichen ein, und geben Sie dann nach der letzten Ereignisnummer 12294 ein.

  5. Wählen Sie im Menü "Optionen " die Option "Datumsbereich festlegen" aus.

  6. Wählen Sie im Feld "Von " Das Startdatum und die Startzeit aus.

  7. Wählen Sie im Feld "An " Das Enddatum und die Endzeit aus, und klicken Sie dann auf "OK".

  8. Klicken Sie auf Suchen.

  9. Wenn Sie andere Computer (Nicht-Domänencontroller) nach Kontosperrereignissen durchsuchen möchten, klicken Sie mit der rechten Maustaste auf das Feld "Zur Suche auswählen/Rechtsklick zum Hinzufügen" , und klicken Sie dann auf "Ausgewählte Server aus Liste entfernen". Klicken Sie zum Hinzufügen von Computern zur Suche mit der rechten Maustaste auf das Feld "Zur Suche auswählen/Rechtsklick Zum Hinzufügen" , und klicken Sie dann auf eine der Optionen. Wenn Sie z. B. Computer einzeln hinzufügen möchten, klicken Sie auf "Einzelserver hinzufügen". Klicken Sie auf den Server oder die Server, die Sie durchsuchen möchten, und klicken Sie dann auf "Suchen".

Nach Abschluss der Abfrage können Sie die Suchergebnisse im Ausgabeverzeichnis anzeigen, das Sie in Schritt 2 angegeben haben. Sie können die Dateien auch in Microsoft Excel importieren. Oder wenn eine sehr große Ausgabedatei vorhanden ist, können Sie die Informationen in eine SQL Server-Datenbank importieren und Abfragen verwenden, um die Informationen auszuwerten.

Weitere Informationen zum EventCombMT-Hilfsprogramm finden Sie in den Hilfedateien, die im Tool enthalten sind.