锁定计算机的事件日志,如何使用 EventCombMT 实用工具搜索帐户锁定的事件日志...

如何使用 EventCombMT 实用工具搜索帐户锁定的事件日志

12/07/2020

本文内容

本文介绍如何使用 EventCombMT 实用工具 (EventCombmt.exe) 多台计算机的事件日志中搜索帐户锁定。

适用于：  Windows Server 2012R2

原始 KB 编号：   824209

更多信息

EventCombMT 是一种多线程工具，可用于搜索多个不同计算机的事件日志，以查找特定事件，所有这些事件都从一个中心位置进行搜索。 你可以将 EventCombMT 配置为以非常详细的方式搜索事件日志。

以下是可以指定的一些搜索参数：

单个事件 ID

多个事件 ID

一系列事件 ID

事件源

特定事件文本

要扫描的分钟数、小时数或天数

某些特定的搜索类别是内置的，例如帐户锁定。 帐户锁定搜索预配置为包括事件 ID 529、644、675、676 和 681。 此外，可以添加事件 ID 12294 以搜索针对管理员帐户的潜在攻击。

若要下载 EventCombMT 实用工具，请下载 帐户锁定和管理工具。 EventCombMT 实用工具包含在帐户锁定和管理工具下载 (ALTools.exe) 。

若要在事件日志中搜索帐户锁定，请按照以下步骤操作：

启动 EventCombMT。

在"选项" 菜单上，单击"设置 输出目录"，选择现有文件夹，或单击"新建文件夹"以创建一个将输出保存到的新文件夹，然后单击"确定 "。

备注

如果不指定输出目录，则默认位置为 \ C：Temp。

在"搜索" 菜单上，指向 "内置搜索"， 然后单击"帐户 锁定"。

域的所有域控制器都显示在" 选择搜索/右键单击以添加" 框中。 此外，在"事件 IDs" 框中，可以看到添加了事件 ID 529、644、675、676 和 681。

在"事件 ID" 框中，键入一个空格，然后在最后一个事件编号之后键入 12294。

在"选项"菜单中，选择"设置日期范围"。

在" 开始" 框中，选择开始日期和时间。

在"目标"框中，选择结束日期和时间，然后单击"确定 "。

单击"搜索"。

若要在 (域控制器) 其他计算机搜索帐户锁定事件，请右键单击"选择要搜索 /右 键单击以添加"框，然后单击"从列表中删除所选服务器 "。 若要添加要搜索的计算机，请右键单击"选择要搜索 /右 键单击以添加"框，然后单击其中一个选项。 例如，若要一次添加一台计算机，请单击"添加单个服务器"。 单击要搜索的一个或多个服务器，然后单击"搜索 "。

查询完成后，您可以查看在步骤 2 中指定的输出目录中的搜索结果。 还可以将文件导入Microsoft Excel。 或者，如果存在非常大的输出文件，您可以将信息导入到SQL Server数据库，并使用查询评估信息。

有关 EventCombMT 实用工具详细信息，请参阅工具中包含的帮助文件。