この記事では、EventCombMT ユーティリティ (EventCombmt.exe) を使用して、アカウントロックアウトについて複数のコンピューターのイベント ログを検索する方法について説明します。
元の KB 番号: 824209
詳細
EventCombMT はマルチスレッド ツールであり、複数の異なるコンピューターのイベント ログを検索して、1 つの中央の場所から特定のイベントを検索できます。 イベント ログを非常に詳細な方法で検索するように EventCombMT を構成できます。
指定できる検索パラメーターの一部を次に示します。
- 個々のイベント ID
- 複数のイベント ID
- イベント ID の範囲
- イベント ソース
- 特定のイベント テキスト
- スキャンに戻る分数、時間数、または日数
アカウント ロックアウトなど、一部の特定の検索カテゴリが組み込まれています。 アカウント ロックアウト検索は、イベント ID 529、644、675、676、および 681 を含むように事前構成されています。 さらに、イベント ID 12294 を追加して、管理者アカウントに対する潜在的な攻撃を検索できます。
EventCombMT ユーティリティをダウンロードするには、 Account ロックアウトおよび管理ツールをダウンロードします。 EventCombMT ユーティリティは、アカウント ロックアウトおよび管理ツールのダウンロード (ALTools.exe) に含まれています。
イベント ログでアカウントロックアウトを検索するには、次の手順に従います。
EventCombMT を開始します。
Options メニューで、出力ディレクトリの設定] をクリックし既存のフォルダーを選択するか、[新しいフォルダーをクリックして出力を保存する新しいフォルダーを作成し、OKをクリックします。
Note
出力ディレクトリを指定しない場合、既定の場所は C:\Temp です。
Searches メニューの Built In Searches をポイントし、Account Lockouts をクリックします。
ドメインのすべてのドメイン コントローラーは、[ 検索/右クリックして追加 ボックスに表示されます。 また、 Event ID ボックスに、イベント ID 529、644、675、676、681 が追加されていることがわかります。
[ Event ID ボックスにスペースを入力し、最後のイベント番号の後に「 12294 」と入力します。
Options メニューの [日付範囲の設定] 選択。
[ From ボックスで、開始日時を選択します。
[ To ボックスで、終了日時を選択し、[ OK] をクリック。
[検索] をクリックします。
他のコンピューター (ドメイン コントローラー以外) でアカウント ロックアウト イベントを検索するには、[ 検索/右クリックして追加するには ] ボックスを右クリックし、[選択したサーバーを一覧から削除 ] をクリックします。 検索するコンピューターを追加するには、 検索に選択/右クリックして追加 ] ボックスを右クリックし、オプションのいずれかをクリックします。 たとえば、一度に 1 台ずつコンピューターを追加するには、[単一サーバーの追加 ] をクリック。 検索するサーバーをクリックし、 Search をクリックします。
クエリが完了すると、手順 2 で指定した出力ディレクトリに検索結果を表示できます。 ファイルを Microsoft Excel にインポートすることもできます。 または、非常に大きな出力ファイルがある場合は、SQL Server データベースに情報をインポートし、クエリを使用して情報を評価できます。
EventCombMT ユーティリティの詳細については、ツールに含まれているヘルプ ファイルを参照してください。