EventCombMT 유틸리티를 사용하여 계정 잠금에 대한 이벤트 로그를 검색하는 방법

이 문서에서는 EventCombMT 유틸리티(EventCombmt.exe)를 사용하여 여러 컴퓨터의 이벤트 로그에서 계정 잠금을 검색하는 방법을 설명합니다.

적용 대상: Windows Server 2012 R2
원본 KB 번호: 824209

추가 정보

EventCombMT는 여러 컴퓨터의 이벤트 로그에서 특정 이벤트를 검색하는 데 사용할 수 있는 다중 스레드 도구입니다. 이벤트 로그를 매우 세부적인 방식으로 검색하도록 EventCombMT를 구성할 수 있습니다.

다음은 지정할 수 있는 몇 가지 검색 매개 변수입니다.

• 개별 이벤트 ID
• 여러 이벤트 ID
• 이벤트 ID 범위
• 이벤트 원본
• 특정 이벤트 텍스트
• 스캔할 시간(분, 시간 또는 며칠)입니다.

계정 잠금과 같은 일부 특정 검색 범주가 기본 제공됩니다. 계정 잠금 검색은 이벤트 ID 529, 644, 675, 676 및 681을 포함하도록 미리 구성됩니다. 또한 이벤트 ID 12294를 추가하여 관리자 계정에 대한 잠재적인 공격을 검색할 수 있습니다.

EventCombMT 유틸리티를 다운로드하려면 계정 잠금 및 관리 도구를 다운로드합니다. EventCombMT 유틸리티는 계정 잠금 및 관리 도구 다운로드(ALTools.exe)에 포함되어 있습니다.

이벤트 로그에서 계정 잠금을 검색하려면 다음 단계를 수행합니다.

1. EventCombMT를 시작합니다.

2. 옵션 메뉴에서 출력 디렉터리 설정을 클릭하고 기존 폴더를 선택하거나 새 폴더를 클릭하여 출력을 저장할 새 폴더를 만든 다음 확인을 클릭합니다.

   참고

   출력 디렉터리를 지정하지 않으면 기본 위치는 C:\Temp입니다.

3. 검색 메뉴에서 기본 제공 검색을 가리킨 다음 계정 잠금을 클릭합니다.

   도메인에 대한 모든 도메인 컨트롤러는 검색할 대상 선택/추가하려면 마우스 오른쪽 단추 클릭 상자에 표시됩니다. 또한 이벤트 ID 상자에 이벤트 ID 529, 644, 675, 676 및 681이 추가됩니다.

4. 이벤트 ID 상자에 공백을 입력한 다음 마지막 이벤트 번호 다음에 12294를 입력합니다.

5. 옵션 메뉴에서 날짜 범위 설정을 선택합니다.

6. 시작 날짜 상자 에서 시작 날짜 및 시간을 선택합니다.

7. To 상자에서 종료 날짜 및 시간을 선택한 다음 확인을 클릭합니다.

8. 검색을 클릭합니다.

9. 다른 컴퓨터(비 도메인 컨트롤러)에서 계정 잠금 이벤트를 검색하려면 검색할 선택/추가하려면 마우스 오른쪽 단추로 클릭 상자를 마우스 오른쪽 단추로 클릭한 다음 목록에서 선택한 서버 제거를 클릭합니다. 검색할 컴퓨터를 추가하려면 검색할 대상 선택/추가하려면 마우스 오른쪽 단추로 클릭 상자를 마우스 오른쪽 단추로 클릭한 다음 옵션 중 하나를 클릭합니다. 예를 들어 컴퓨터를 한 번에 하나씩 추가하려면 단일 서버 추가를 클릭합니다. 검색하려는 서버 또는 서버를 클릭한 다음 검색을 클릭합니다.

쿼리가 완료되면 2단계에서 지정한 출력 디렉터리에서 검색 결과를 볼 수 있습니다. 파일을 Microsoft Excel로 가져올 수도 있습니다. 또는 매우 큰 출력 파일이 있는 경우 정보를 SQL Server 데이터베이스로 가져오고 쿼리를 사용하여 정보를 평가할 수 있습니다.

EventCombMT 유틸리티에 대한 자세한 내용은 도구에 포함된 도움말 파일을 참조하세요.