Использование служебной программы EventCombMT для поиска журналов событий для блокировки учетных записей

  • Статья

В этой статье описывается использование служебной программы EventCombMT (EventCombmt.exe) для поиска блокировок учетных записей в журналах событий нескольких компьютеров.

Применяется к: Windows Server 2012 R2
Исходный номер базы знаний: 824209

Дополнительная информация

EventCombMT — это многопоточное средство, которое можно использовать для поиска в журналах событий нескольких разных компьютеров по конкретным событиям из одного центрального расположения. Вы можете настроить EventCombMT для поиска в журналах событий очень подробно.

Ниже приведены некоторые параметры поиска, которые можно указать:

  • Идентификаторы отдельных событий
  • Несколько идентификаторов событий
  • Диапазон идентификаторов событий
  • Источник событий
  • Конкретный текст события
  • Сколько минут, часов или дней назад сканировать

Некоторые определенные категории поиска являются встроенными, например блокировки учетных записей. Поиск по блокировкам учетных записей предварительно настроен для включения идентификаторов событий 529, 644, 675, 676 и 681. Кроме того, можно добавить событие с идентификатором 12294 для поиска потенциальных атак на учетную запись администратора.

Чтобы скачать служебную программу EventCombMT, скачайте средства блокировки учетных записей и управления. Служебная программа EventCombMT включена в скачивание средств блокировки учетных записей и управления (ALTools.exe).

Чтобы найти в журналах событий блокировку учетных записей, выполните следующие действия.

  1. Запустите EventCombMT.

  2. В меню Параметры выберите команду Задать выходной каталог, выберите существующую папку или щелкните Создать папку , чтобы создать новую папку для сохранения выходных данных, а затем нажмите кнопку ОК.

    Примечание.

    Если не указать выходной каталог, расположение по умолчанию — C:\Temp.

  3. В меню Поиск наведите указатель на пункт Встроенные поисковые запросы, а затем выберите Пункт Блокировки учетных записей.

    Все контроллеры домена для домена отображаются в поле Выберите для поиска или Щелкните правой кнопкой мыши, чтобы добавить . Кроме того, в поле Идентификаторы событий вы увидите, что добавлены идентификаторы событий 529, 644, 675, 676 и 681.

  4. В поле Идентификаторы событий введите пробел, а затем введите 12294 после последнего номера события.

  5. В меню Параметры выберите Задать диапазон дат.

  6. В поле От выберите дату и время начала.

  7. В поле К выберите дату и время окончания, а затем нажмите кнопку ОК.

  8. Нажмите кнопку Поиск.

  9. Чтобы выполнить поиск событий блокировки учетных записей на других компьютерах (не контроллерах домена), щелкните правой кнопкой мыши поле Select To Search /Right Click To Add (Добавить правой кнопкой мыши ) и выберите команду Удалить выбранные серверы из списка. Чтобы добавить компьютеры для поиска, щелкните правой кнопкой мыши поле Выбрать для поиска или Щелкните правой кнопкой мыши, чтобы добавить , а затем выберите один из параметров. Например, чтобы добавить компьютеры по одному, щелкните Добавить отдельный сервер. Выберите сервер или серверы, на которые требуется выполнить поиск, а затем нажмите кнопку Поиск.

По завершении запроса можно просмотреть результаты поиска в выходном каталоге, указанном на шаге 2. Вы также можете импортировать файлы в Microsoft Excel. Или, если есть очень большой выходной файл, вы можете импортировать информацию в базу данных SQL Server и использовать запросы для оценки информации.

Дополнительные сведения о служебной программе EventCombMT см. в разделе Файлы справки, которые входят в состав средства.