本文介绍如何使用 EventCombMT 实用工具(EventCombmt.exe)在多台计算机的事件日志中搜索帐户锁定。
原始 KB 数: 824209
详细信息
EventCombMT 是一种多线程工具,可用于在多个不同计算机的事件日志中搜索特定事件的事件日志,所有这些事件都来自一个中心位置。 可以将 EventCombMT 配置为以非常详细的方式搜索事件日志。
以下是可以指定的一些搜索参数:
- 单个事件 ID
- 多个事件 ID
- 事件 ID 的范围
- 事件源
- 特定事件文本
- 返回扫描的分钟数、小时数或天数
某些特定的搜索类别是内置的,例如帐户锁定。 帐户锁定搜索已预先配置为包括事件 ID 529、644、675、676 和 681。 此外,还可以添加事件 ID 12294 来搜索针对管理员帐户的潜在攻击。
若要下载 EventCombMT 实用工具,请下载 帐户锁定和管理工具。 EventCombMT 实用工具包含在帐户锁定和管理工具下载(ALTools.exe) 中。
若要搜索帐户锁定的事件日志,请执行以下步骤:
启动 EventCombMT。
在“选项”菜单上,单击“设置输出目录”,选择现有文件夹,或单击“新建文件夹”以创建新文件夹以保存输出,然后单击“确定”。
注意
如果未指定输出目录,则默认位置为 C:\Temp。
在 “搜索 ”菜单上,指向 “内置搜索”,然后单击“ 帐户锁定”。
域的所有域控制器都显示在 “选择搜索/右键单击以添加 ”框中。 此外,在 “事件 ID ”框中,可以看到添加了事件 ID 529、644、675、676 和 681。
在 “事件 ID ”框中,键入一个空格,然后在最后一个事件编号之后键入 12294 。
在 “选项” 菜单中,选择“ 设置日期范围”。
在 “发件人 ”框中,选择开始日期和时间。
在 “To ”框中,选择结束日期和时间,然后单击“ 确定”。
单击 “搜索” 。
若要搜索其他计算机(非域控制器)以查找帐户锁定事件,请右键单击“ 选择搜索”/右键单击“添加 框,然后单击” 从列表中删除所选服务器”。 若要添加要搜索的计算机,请右键单击“ 选择搜索”/右键单击“添加 框,然后单击其中一个选项。 例如,若要一次添加计算机,请单击“ 添加单一服务器”。 单击要搜索的服务器或服务器,然后单击“ 搜索”。
查询完成后,可以在步骤 2 中指定的输出目录中查看搜索结果。 还可以将文件导入到 excel Microsoft。 或者,如果有非常大的输出文件,则可以将信息导入 SQL Server 数据库,并使用查询来评估信息。
有关 EventCombMT 实用工具的详细信息,请参阅该工具附带的帮助文件。