文章編號: 824209 - 上次校閱: 2006年1月5日 - 版次: 4.3

如何使用 EventcombMT 公用程式,在事件記錄檔中搜尋帳戶鎖定 (Account Lockout)

檢視此文章適用的產品。
系統提示本文適用於您使用的作業系統之外的作業系統。與您不相關的文章內容已停用。
全部展開 | 全部摺疊

結論

本文將告訴您,如何使用 EventCombMT 公用程式 (Eventcombmt.exe),在多台電腦的事件記錄檔搜尋帳戶鎖定。

其他相關資訊

EventCombMT 是一個多執行緒工具,可以在數台不同電腦的事件記錄檔中搜尋特定事件,而這些搜尋工作全部都是從一個中央位置上執行。您可以設定讓 EventCombMT 以非常詳細的方式來搜尋事件記錄檔。下列是您可以指定的一些搜尋參數:
  • 個別事件 ID
  • 多個事件 ID
  • 事件 ID 的範圍
  • 事件來源
  • 特定事件文字
  • 要回溯至幾分鐘、幾小時或幾天之前開始掃描
有些特定搜尋類別是內建的,例如「帳戶鎖定」(Account Lockout)。「帳戶鎖定」搜尋已預先設定包含 529、644、675、676 和 681 這幾個事件 ID。此外,您還可以加入事件 ID 12294 來搜尋威脅系統管理員帳戶的潛在攻擊。

如果要下載 EventCombMT 公用程式,請造訪下列 Microsoft 網站:
http://www.microsoft.com/downloads/details.aspx?displaylang=en&familyid=7af2e69c-91f3-4e63-8629-b999adde0b9e (http://www.microsoft.com/downloads/details.aspx?FamilyID=7AF2E69C-91F3-4E63-8629-B999ADDE0B9E)
注意 EventCombMT 公用程式包含在「帳戶鎖定及管理工具」(Account Lockout and Management Tool) 的下載中 (ALTools.exe) 。

如果要在事件記錄檔搜尋帳戶鎖定,請依照下列步驟執行:
  1. 啟動 EventCombMT。
  2. [Options] 功能表上,按一下 [Set Output Directory],再選取現有的資料夾,或按一下 [建立新資料夾] 以建立儲存輸出的新資料夾,然後按一下 [確定]

    注意 如果沒有指定輸出目錄,則預設的位置是 C:\Temp。
  3. [Searches] 功能表上,指向 [Built In Searches],然後按一下 [Account Lockouts]

    網域的所有網域控制站會出現在 [Select To Search/Right Click To Add] 方塊中。另外,在 [Event IDs] 方塊中,您還會看見加入了事件識別碼 529、644、675、676 和 681。
  4. [Event IDs] 方塊中輸入空格,然後在最後一個事件編號之後輸入 12294
  5. [Options] 功能表上,選取 [Set Date Range]
  6. [From] 方塊中選擇您的開始日期和時間。
  7. [To] 方塊中選擇您的結束日期和時間,然後按一下 [OK]
  8. 按一下 [Search]
  9. 如果要在其他電腦 (非網域控制站) 搜尋帳戶鎖定事件,請用滑鼠右鍵按一下 [Select To Search/Right Click To Add] 方塊,然後按一下 [Remove Selected Servers From List]。如果要加入待搜尋的電腦,請用滑鼠右鍵按一下 [Select To Search/Right Click To Add] 方塊,然後按一下其中一個選項。例如,要一次加入一台電腦,就按一下 [Add Single Server]。按一下您要搜尋的一個或多個伺服器,然後按一下 [Search]
這個查詢程序完成時,您可以在步驟 2 所指定的輸出目錄中檢視搜尋結果,也可以將檔案匯入至 Microsoft Excel。或者,如果輸出檔案非常大,您可以將資訊匯入至 Microsoft SQL Server 資料庫,並使用查詢來評估資訊。

如需有關 EventCombMT 公用程式的詳細資訊,請參閱隨附於該工具的說明檔案。
這篇文章中的資訊適用於:
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows 2000 Server
回此頁最上方
關鍵字:?
kbactivedirectory kbwinservds kbhowto KB824209
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。