Comment utiliser l’utilitaire EventCombMT pour rechercher des verrous de compte dans les journaux des événements

Cet article explique comment utiliser l’utilitaire EventCombMT (EventCombmt.exe) pour rechercher des verrouillages de compte dans les journaux des événements de plusieurs ordinateurs.

S’applique à : Windows Server 2012 R2
Numéro de la base de connaissances d’origine : 824209

Plus d’informations

EventCombMT est un outil multithread que vous pouvez utiliser pour rechercher des événements spécifiques dans les journaux des événements de plusieurs ordinateurs différents, le tout à partir d’un emplacement central. Vous pouvez configurer EventCombMT pour rechercher les journaux des événements de manière très détaillée.

Voici quelques-uns des paramètres de recherche que vous pouvez spécifier :

• ID d’événement individuel
• ID d’événement multiples
• Une plage d’ID d’événement
• Une source d’événement
• Texte de l’événement spécifique
• Nombre de minutes, d’heures ou de jours d’analyse

Certaines catégories de recherche spécifiques sont intégrées, telles que les verrouillages de compte. La recherche de verrouillages de compte est préconfigurée pour inclure les ID d’événement 529, 644, 675, 676 et 681. En outre, vous pouvez ajouter l’ID d’événement 12294 pour rechercher des attaques potentielles contre le compte Administrateur.

Pour télécharger l’utilitaire EventCombMT, téléchargez Les outils de gestion et de verrouillage de compte. L’utilitaire EventCombMT est inclus dans le téléchargement des outils de verrouillage de compte et de gestion (ALTools.exe).

Pour rechercher les verrous de compte dans les journaux des événements, procédez comme suit :

1. Démarrez EventCombMT.

2. Dans le menu Options , cliquez sur Définir le répertoire de sortie, sélectionnez un dossier existant ou cliquez sur Nouveau dossier pour créer un dossier dans lequel enregistrer la sortie, puis cliquez sur OK.

   Remarque

   Si vous ne spécifiez pas de répertoire de sortie, l’emplacement par défaut est C :\Temp.

3. Dans le menu Recherches , pointez sur Recherches intégrées, puis cliquez sur Verrouillages de compte.

   Tous les contrôleurs de domaine pour le domaine s’affichent dans la zone Sélectionner vers la recherche/Cliquer avec le bouton droit pour ajouter . En outre, dans la zone ID d’événement, vous voyez que les ID d’événement 529, 644, 675, 676 et 681 sont ajoutés.

4. Dans la zone ID d’événement , tapez un espace, puis tapez 12294 après le dernier numéro d’événement.

5. Dans le menu Options , sélectionnez Définir la plage de dates.

6. Dans la zone De , choisissez la date et l’heure de début.

7. Dans la zone À , choisissez la date et l’heure de fin, puis cliquez sur OK.

8. Cliquez sur Rechercher.

9. Pour rechercher des événements de verrouillage de compte sur d’autres ordinateurs (autres que des contrôleurs de domaine), cliquez avec le bouton droit sur la zone Sélectionner la recherche/Cliquez avec le bouton droit sur Ajouter , puis cliquez sur Supprimer les serveurs sélectionnés de la liste. Pour ajouter des ordinateurs à la recherche, cliquez avec le bouton droit sur la zone Sélectionner la recherche/Cliquez avec le bouton droit sur Ajouter , puis cliquez sur l’une des options. Par exemple, pour ajouter des ordinateurs un à la fois, cliquez sur Ajouter un serveur unique. Cliquez sur le ou les serveurs que vous souhaitez rechercher, puis cliquez sur Rechercher.

Une fois la requête terminée, vous pouvez afficher les résultats de la recherche dans le répertoire de sortie que vous avez spécifié à l’étape 2. Vous pouvez également importer les fichiers dans Microsoft Excel. Ou, s’il existe un fichier de sortie très volumineux, vous pouvez importer les informations dans une base de données SQL Server et utiliser des requêtes pour évaluer les informations.

Pour plus d’informations sur l’utilitaire EventCombMT, consultez les fichiers d’aide inclus dans l’outil.