EventCombMT ユーティリティを使用して、アカウント ロックアウトのイベント ログを検索する方法

この記事では、EventCombMT ユーティリティ (EventCombmt.exe) を使用して、複数のコンピューターのイベント ログでアカウント ロックアウトを検索する方法について説明します。

適用対象: Windows Server 2012 R2
元の KB 番号: 824209

詳細

EventCombMT は、複数の異なるコンピューターのイベント ログを 1 つの中央の場所から特定のイベントで検索するために使用できるマルチスレッド ツールです。 EventCombMT を構成して、非常に詳細な方法でイベント ログを検索できます。

指定できる検索パラメーターの一部を次に示します。

• 個々のイベント ID
• 複数のイベント ID
• イベント ID の範囲
• イベント ソース
• 特定のイベント テキスト
• スキャンに戻る分数、時間数、または日数

アカウント ロックアウトなど、一部の特定の検索カテゴリが組み込まれています。 アカウント ロックアウト検索は、イベント ID 529、644、675、676、および 681 を含むように事前構成されています。 さらに、イベント ID 12294 を追加して、管理者アカウントに対する潜在的な攻撃を検索できます。

EventCombMT ユーティリティをダウンロードするには、[ アカウント ロックアウトと管理ツール] をダウンロードします。 EventCombMT ユーティリティは、アカウント ロックアウトおよび管理ツールのダウンロード (ALTools.exe) に含まれています。

イベント ログでアカウント ロックアウトを検索するには、次の手順に従います。

1. EventCombMT を開始します。

2. [ オプション ] メニューの [ 出力ディレクトリの設定] をクリックし、既存のフォルダーを選択するか、[ 新しいフォルダー ] をクリックして出力を保存する新しいフォルダーを作成し、[OK] をクリック します。

   注:

   出力ディレクトリを指定しない場合、既定の場所は C:\Temp です。

3. [ 検索 ] メニュー の [組み込み検索] をポイントし、[ アカウント ロックアウト] をクリックします。

   ドメインのすべてのドメイン コントローラーは 、[検索/右クリックして追加する ] ボックスに表示されます。 また、[ イベント ID ] ボックスに、イベント ID 529、644、675、676、681 が追加されていることがわかります。

4. [ イベント ID ] ボックスにスペースを入力し、最後のイベント番号の後に 「12294 」と入力します。

5. [ オプション ] メニューの [ 日付範囲の設定] を選択します。

6. [ 開始 ] ボックスで、開始日と時刻を選択します。

7. [ 終了 ] ボックスで、終了日時を選択し、[OK] をクリック します。

8. [検索] をクリックします。

9. 他のコンピューター (ドメイン コントローラー以外) でアカウント ロックアウト イベントを検索するには、[検索する選択 ]/[右 クリックして追加] ボックスを右クリックし、[ 選択したサーバーを一覧から削除] をクリックします。 検索するコンピューターを追加するには、[検索 に選択]/[右クリックして追加 ] ボックスを右クリックし、いずれかのオプションをクリックします。 たとえば、コンピューターを 1 つずつ追加するには、[ 単一サーバーの追加] をクリックします。 検索するサーバーをクリックし、[ 検索] をクリックします。

クエリが完了すると、手順 2 で指定した出力ディレクトリで検索結果を表示できます。 ファイルを Microsoft Excel にインポートすることもできます。 または、非常に大きな出力ファイルがある場合は、SQL Server データベースに情報をインポートし、クエリを使用して情報を評価できます。

EventCombMT ユーティリティの詳細については、ツールに含まれているヘルプ ファイルを参照してください。