EventCombMT ユーティリティを使用して、イベント ログでアカウント ロックアウトを検索する方法

文書翻訳 文書翻訳
文書番号: 824209 - 対象製品
すべて展開する | すべて折りたたむ

概要

この資料では、EventCombMT ユーティリティ (EventCombmt.exe) を使用して、複数のコンピュータのイベント ログでアカウント ロックアウトを検索する方法について説明します。

詳細

EventCombMT は、1 か所の集中した場所から複数のコンピュータのイベント ログすべてで、特定のイベントを検索するために使用可能なマルチスレッド ツールです。EventCombMT を構成することにより、非常に詳細な方法でイベント ログを検索することができます。以下は、指定可能な検索パラメータの一部です。
  • 個別のイベント ID
  • 複数のイベント ID
  • イベント ID の範囲
  • イベント ソース
  • 特定のイベント テキスト
  • 検索する時間範囲 (開始時刻および終了時刻を日、時、分、秒で指定)
アカウント ロックアウトなど、いくつかの特定の検索カテゴリが組み込まれています。アカウント ロックアウトの検索では、イベント ID 529、644、675、676 および 681 が含まれるようにあらかじめ構成されています。さらに、イベント ID 12294 を追加して、起こり得る Administrator アカウントに対する攻撃を検索することができます。

EventCombMT ユーティリティをダウンロードするには、次のマイクロソフト Web サイトを参照してください。
http://www.microsoft.com/downloads/details.aspx?FamilyID=7AF2E69C-91F3-4E63-8629-B999ADDE0B9E
: EventCombMT ユーティリティは、Account Lockout and Management Tools のダウンロード パッケージ (ALTools.exe) に含まれています。

次の手順に従って、イベント ログでアカウント ロックアウトを検索します。
  1. EventCombMT を起動します。
  2. [Options] メニューの [Set Output Directory] をクリックして、既存のフォルダをクリックするか、[新しいフォルダの作成] をクリックして出力を保存する新しいフォルダを作成し、[OK] をクリックします。

    : 出力ディレクトリを指定しない場合、デフォルトの場所は C:\Temp になります。
  3. [Searches] メニューの [Built In Searches] をポイントし、[Account Lockouts] をクリックします。

    ドメインのすべてのドメイン コントローラが [Select To Search/Right Click To Add] ボックスに表示されます。[Event IDs] ボックスに、イベント ID 529、644、675、676 および 681 が追加されます。
  4. [Event IDs] ボックスで、最後のイベント番号に続けてスペースを入力してから 12294 と入力します。
  5. [Options] メニューの [Set Date Range] をクリックします。
  6. [From] ボックスで、開始日時を選択します。
  7. [To] ボックスで、終了日時を選択し、[OK] をクリックします。
  8. [Search] をクリックします。
  9. 他のコンピュータ (ドメイン コントローラ以外) のアカウント ロックアウト イベントを検索するには、[Select To Search/Right Click To Add] ボックスを右クリックし、[Remove Selected Servers From List] をクリックします。検索するコンピュータを追加するには、[Select To Search/Right Click To Add] ボックスを右クリックし、オプションの 1 つをクリックします。たとえば、コンピュータを一度に 1 台追加するには、[Add Single Server] をクリックします。検索対象のサーバーを 1 台または複数台クリックし、[Search] をクリックします。
検索が完了すると、検索結果が手順 2. で指定した出力ディレクトリに作成され、結果を参照することができます。このファイルを Microsoft Excel にインポートすることもできます。また、非常に大きい出力ファイルの場合は、その情報を Microsoft SQL Server データベースにインポートして、情報の評価にクエリを使用することができます。

EventCombMT ユーティリティの詳細については、ツールに付属しているヘルプ ファイルを参照してください。

プロパティ

文書番号: 824209 - 最終更新日: 2006年2月6日 - リビジョン: 4.1
この資料は以下の製品について記述したものです。
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows 2000 Server
キーワード:?
kbhowto kbactivedirectory kbwinservds KB824209
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com