Verwenden des Hilfsprogramms EventCombMT zum Durchsuchen von Ereignisprotokollen nach Kontosperren

  • Artikel

In diesem Artikel wird beschrieben, wie Sie das EventCombMT-Hilfsprogramm (EventCombmt.exe) verwenden, um die Ereignisprotokolle mehrerer Computer nach Kontosperrungen zu durchsuchen.

Gilt für: Windows Server 2012 R2
Ursprüngliche KB-Nummer: 824209

Weitere Informationen

EventCombMT ist ein Multithread-Tool, mit dem Sie die Ereignisprotokolle mehrerer verschiedener Computer nach bestimmten Ereignissen durchsuchen können, und zwar alle von einem zentralen Ort aus. Sie können EventCombMT so konfigurieren, dass die Ereignisprotokolle sehr detailliert durchsucht werden.

Im Folgenden finden Sie einige der Suchparameter, die Sie angeben können:

  • Einzelne Ereignis-IDs
  • Mehrere Ereignis-IDs
  • Eine Reihe von Ereignis-IDs
  • Eine Ereignisquelle
  • Spezifischer Ereignistext
  • Anzahl der zu überprüfenden Minuten, Stunden oder Tage

Einige bestimmte Suchkategorien sind integriert, z. B. Kontosperren. Die Kontosperrungssuche ist vorkonfiguriert und enthält die Ereignis-IDs 529, 644, 675, 676 und 681. Darüber hinaus können Sie die Ereignis-ID 12294 hinzufügen, um nach potenziellen Angriffen auf das Administratorkonto zu suchen.

Um das EventCombMT-Hilfsprogramm herunterzuladen, laden Sie Kontosperrung und Verwaltungstools herunter. Das EventCombMT-Hilfsprogramm ist im Download der Kontosperr- und Verwaltungstools (ALTools.exe) enthalten.

Führen Sie die folgenden Schritte aus, um die Ereignisprotokolle nach Kontosperren zu durchsuchen:

  1. Starten Sie EventCombMT.

  2. Klicken Sie im Menü Optionen auf Ausgabeverzeichnis festlegen, wählen Sie einen vorhandenen Ordner aus, oder klicken Sie auf Neuer Ordner , um einen neuen Ordner zum Speichern der Ausgabe zu erstellen, und klicken Sie dann auf OK.

    Hinweis

    Wenn Sie kein Ausgabeverzeichnis angeben, lautet der Standardspeicherort C:\Temp.

  3. Zeigen Sie im Menü Suchen auf Integrierte Suchvorgänge, und klicken Sie dann auf Kontosperren.

    Alle Domänencontroller für die Domäne werden im Feld Für Suche auswählen/Rechtsklick zum Hinzufügen angezeigt. Außerdem sehen Sie im Feld Ereignis-IDs , dass die Ereignis-IDs 529, 644, 675, 676 und 681 hinzugefügt werden.

  4. Geben Sie im Feld Ereignis-IDs ein Leerzeichen ein, und geben Sie dann 12294 nach der letzten Ereignisnummer ein.

  5. Wählen Sie im Menü Optionen die Option Datumsbereich festlegen aus.

  6. Wählen Sie im Feld Von Ihr Startdatum und die Startzeit aus.

  7. Wählen Sie im Feld An Ihr Enddatum und die Endzeit aus, und klicken Sie dann auf OK.

  8. Klicken Sie auf Suchen.

  9. Wenn Sie andere Computer (Domänencontroller ohne Domänencontroller) nach Kontosperrungsereignissen durchsuchen möchten, klicken Sie mit der rechten Maustaste auf das Feld Für Suche auswählen/Rechtsklick auf Hinzufügen , und klicken Sie dann auf Ausgewählte Server aus Liste entfernen. Klicken Sie zum Hinzufügen von Computern für die Suche mit der rechten Maustaste auf das Feld Für Suche auswählen/Rechtsklick auf Hinzufügen , und klicken Sie dann auf eine der Optionen. Wenn Sie z. B. Computer einzeln hinzufügen möchten, klicken Sie auf Einzelserver hinzufügen. Klicken Sie auf den Server, den Sie durchsuchen möchten, und klicken Sie dann auf Suchen.

Nach Abschluss der Abfrage können Sie die Suchergebnisse im Ausgabeverzeichnis anzeigen, das Sie in Schritt 2 angegeben haben. Sie können die Dateien auch in Microsoft Excel importieren. Wenn eine sehr große Ausgabedatei vorhanden ist, können Sie die Informationen in eine SQL Server Datenbank importieren und Abfragen verwenden, um die Informationen auszuwerten.

Weitere Informationen zum EventCombMT-Hilfsprogramm finden Sie in den Hilfedateien, die im Tool enthalten sind.