次の方法で共有


EventCombMT ユーティリティを使用して、アカウント ロックアウトのイベント ログを検索する方法

この記事では、EventCombMT ユーティリティ (EventCombmt.exe) を使用して、アカウントロックアウトについて複数のコンピューターのイベント ログを検索する方法について説明します。

元の KB 番号: 824209

詳細

EventCombMT はマルチスレッド ツールであり、複数の異なるコンピューターのイベント ログを検索して、1 つの中央の場所から特定のイベントを検索できます。 イベント ログを非常に詳細な方法で検索するように EventCombMT を構成できます。

指定できる検索パラメーターの一部を次に示します。

  • 個々のイベント ID
  • 複数のイベント ID
  • イベント ID の範囲
  • イベント ソース
  • 特定のイベント テキスト
  • スキャンに戻る分数、時間数、または日数

アカウント ロックアウトなど、一部の特定の検索カテゴリが組み込まれています。 アカウント ロックアウト検索は、イベント ID 529、644、675、676、および 681 を含むように事前構成されています。 さらに、イベント ID 12294 を追加して、管理者アカウントに対する潜在的な攻撃を検索できます。

EventCombMT ユーティリティをダウンロードするには、 Account ロックアウトおよび管理ツールをダウンロードします。 EventCombMT ユーティリティは、アカウント ロックアウトおよび管理ツールのダウンロード (ALTools.exe) に含まれています。

イベント ログでアカウントロックアウトを検索するには、次の手順に従います。

  1. EventCombMT を開始します。

  2. Options メニューで、出力ディレクトリの設定] をクリックし既存のフォルダーを選択するか、[新しいフォルダーをクリックして出力を保存する新しいフォルダーを作成し、OKをクリックします。

    Note

    出力ディレクトリを指定しない場合、既定の場所は C:\Temp です。

  3. Searches メニューの Built In Searches をポイントし、Account Lockouts をクリックします。

    ドメインのすべてのドメイン コントローラーは、[ 検索/右クリックして追加 ボックスに表示されます。 また、 Event ID ボックスに、イベント ID 529、644、675、676、681 が追加されていることがわかります。

  4. [ Event ID ボックスにスペースを入力し、最後のイベント番号の後に「 12294 」と入力します。

  5. Options メニューの [日付範囲の設定] 選択

  6. [ From ボックスで、開始日時を選択します。

  7. [ To ボックスで、終了日時を選択し、[ OK] をクリック

  8. [検索] をクリックします。

  9. 他のコンピューター (ドメイン コントローラー以外) でアカウント ロックアウト イベントを検索するには、[ 検索/右クリックして追加するには ] ボックスを右クリックし、[選択したサーバーを一覧から削除 ] をクリックします。 検索するコンピューターを追加するには、 検索に選択/右クリックして追加 ] ボックスを右クリックし、オプションのいずれかをクリックします。 たとえば、一度に 1 台ずつコンピューターを追加するには、[単一サーバーの追加 ] をクリック。 検索するサーバーをクリックし、 Search をクリックします。

クエリが完了すると、手順 2 で指定した出力ディレクトリに検索結果を表示できます。 ファイルを Microsoft Excel にインポートすることもできます。 または、非常に大きな出力ファイルがある場合は、SQL Server データベースに情報をインポートし、クエリを使用して情報を評価できます。

EventCombMT ユーティリティの詳細については、ツールに含まれているヘルプ ファイルを参照してください。