Использование программы EventCombMT для поиска в журналах событий блокировки учетных записей

Переводы статьи Переводы статьи
Код статьи: 824209 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

Аннотация

В данной статье описывается использование служебной программы EventCombMT (EventCombmt.exe) для поиска журналов событий нескольких компьютеров для блокировки учетной записи.

Дополнительная информация

EventCombMT является Многопоточный инструмент, который можно использовать для поиска журналов событий разных компьютеров для конкретных событий, все из одного места. Можно настроить EventCombMT для поиска в журналах событий очень подробным образом. Ниже приведены некоторые параметры поиска, можно указать:
  • Отдельные коды событий.
  • Коды нескольких событий
  • Диапазон идентификаторов событий
  • Источник событий
  • Текст конкретного события
  • Сколько минут, часов или дней назад для сканирования
Некоторые категории поиска являются встроенными, таких как блокировки учетных записей. Поиск блокировок учетных записей предварительно настроенных включают идентификаторы событий 529, 644, 675, 676 и 681. Кроме того можно добавить код события 12294 для поиска потенциальных атак на учетную запись администратора.

Загрузить средство EventCombMT, посетите следующий веб-узел корпорации Майкрософт:
http://www.Microsoft.com/downloads/details.aspx?FamilyID = 7AF2E69C-91F3-4E63-8629-B999ADDE0B9E
Примечание Служебная программа EventCombMT входит в блокировку учетных записей и загрузить средства управления (ALTools.exe).

Поиск журналов событий для блокировки учетной записи, выполните следующие действия.
  1. Запустите EventCombMT.
  2. На Параметры меню, нажмите кнопку Набор выходной каталог, выбрать существующую папку или нажмите кнопку Новая папка Чтобы создать новую папку для сохранения выходных данных и нажмите кнопку ОК.

    Примечание Если выходной каталог не указан, по умолчанию используется C:\Temp.
  3. На Поиск Выберите пункт Встроенные поиски, а затем нажмите кнопку Блокировка учетных записей.

    Все контроллеры домена для домена отображаются в Выберите, чтобы добавить поиск/правый щелчок поле. Кроме того, в Коды событий поле, вы видите это событие 529 идентификаторы, 644, 675, 676 и 681 добавляются.
  4. В Коды событий Введите пробел и затем введите 12294 После последнего номера событий.
  5. В Параметры Выберите пункт Установка интервала времени.
  6. В Из Нажмите выбрать начальную дату и время.
  7. В Для Выберите конечную дату и время и нажмите кнопку ОК.
  8. Нажмите кнопку Поиск.
  9. Для поиска других компьютеров (не контроллеров домена) для событий блокировки учетной записи, щелкните правой кнопкой мыши Выберите, чтобы добавить поиск/правый щелчок поле, а затем нажмите кнопку Удалить выделенные серверы из списка. Чтобы добавить компьютеры для поиска, щелкните правой кнопкой мыши Выберите, чтобы добавить поиск/правый щелчок а затем щелкните один из параметров. Например для добавления компьютеров из них один раз нажмите кнопку Добавление отдельного сервера. Выберите сервер или серверы, которые требуется найти и нажмите кнопку Поиск.
По завершении запроса можно просматривать результаты поиска в выходном каталоге, указанном на шаге 2. Также можно импортировать файлы в Microsoft Excel. Или, в случае очень крупных выходной файл можно импортировать в базу данных Microsoft SQL Server и оценивать информацию с помощью запросов.

Для получения дополнительных сведений о средстве EventCombMT просмотра файлов справки, включенных в программу.

Свойства

Код статьи: 824209 - Последний отзыв: 15 июня 2011 г. - Revision: 6.0
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • операционная система Microsoft Windows 2000 Server
Ключевые слова: 
kbactivedirectory kbwinservds kbhowto kbmt KB824209 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:824209

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com