Jak vyhledat protokoly událostí pro uzamčení účtu pomocí nástroje EventCombMT

Souhrn

Tento článek popisuje, jak vyhledat protokoly událostí z více počítačů pro uzamčení účtu pomocí nástroje EventCombMT (EventCombmt.exe).

Další informace

EventCombMT je s více podprocesy nástroj, který slouží k vyhledávání protokolů událostí z více různých počítačů pro specifické události z jednoho centrálního umístění. Můžete nakonfigurovat EventCombMT hledání způsobem velmi podrobné protokoly událostí. Zde jsou některé parametry hledání, které můžete zadat:
  • Jednotlivé události ID
  • ID více událostí
  • Rozsah ID událostí
  • Zdroj události
  • Text zvláštní události
  • Kolik minut, hodin nebo dnů zpět ke skenování
Některé kategorie hledání jsou integrované, například uzamčení účtu. Hledání uzamčení účtu je zahrnout ID událostí 529, 644, 675, 676 a 681. Kromě toho můžete přidat událost s ID 12294 vyhledávání potenciálních útoků proti účtu správce.

Chcete-li stáhnout nástroj EventCombMT, naleznete na následujícím webu společnosti Microsoft:Poznámka: Nástroj EventCombMT je součástí uzamčení účtu a nástroje pro správu stahování (ALTools.exe).

Chcete-li prohledávat protokoly událostí pro uzamčení účtu, postupujte takto:
  1. Spusťte EventCombMT.
  2. V nabídce Možnosti klepněte na tlačítko Nastavit výstupní adresář, vyberte existující složku, nebo klepnutím na tlačítko Vytvořit novou složku pro ukládání výstupu do Nové složky a klepněte na tlačítko OK.

    Poznámka: Pokud výstupní adresář nezadáte, výchozí umístění je C:\Temp.
  3. V nabídce hledání přejděte Integrována v hledánía klepněte na tlačítko Uzamčení účtu.

    Všechny řadiče domény v doméně se zobrazí v poli Vyberte k vyhledávání nebo pravé klepněte na Přidat . V poli ID události také uvidíte přidaná událost ID 529, 644, 675, 676 a 681.
  4. V poli ID události zadejte mezeru a potom zadejte 12294 po poslední číslo události.
  5. V nabídce Možnosti vyberte Rozsah data.
  6. V rozevíracím seznamu od vyberte počáteční datum a čas.
  7. V poli do vyberte koncové datum a čas a potom klepněte na tlačítko OK.
  8. Klepněte na tlačítko Hledat.
  9. Hledat ostatní počítače (netýká se řadičů domény) pro události uzamčení účtu, klepněte pravým tlačítkem myši Vyberte pro hledání nebo pravé klepněte chcete přidat pole a potom klepněte na tlačítko Odebrat vybrané ze seznamu serverů. Chcete-li přidat počítače do hledání, klepněte pravým tlačítkem myši Vyberte pro hledání nebo pravé klepněte chcete přidat pole a potom klepněte na jednu z možností. Například přidat počítačů současně, klepněte na tlačítko Přidat jeden Server. Klepněte na server nebo servery, které chcete vyhledat a klepněte na tlačítko Hledat.
Po dokončení dotazu můžete zobrazit výsledky hledání v adresáři výstup, který jste zadali v kroku 2. Soubory můžete také importovat do aplikace Microsoft Excel. Nebo pokud je velmi velké výstupní soubor, můžete informace importovat do databáze Microsoft SQL Server a vyhodnotit informace pomocí dotazů.

Další informace o nástroji EventCombMT naleznete v souborech nápovědy, které jsou součástí nástroje.
Vlastnosti

ID článku: 824209 - Poslední kontrola: 16. 1. 2017 - Revize: 1

Váš názor