Verwenden des EventCombMT-Dienstprogramms zum Durchsuchen von Ereignisprotokollen für Kontosperrungen


Zusammenfassung


In diesem Artikel wird beschrieben, wie Sie das EventCombMT-Dienstprogramm (EventCombMT. exe) verwenden, um die Ereignisprotokolle mehrerer Computer nach Kontosperrungen zu durchsuchen.

Weitere Informationen


EventCombMT ist ein Multithread-Tool, mit dem Sie die Ereignisprotokolle mehrerer unterschiedlicher Computer nach bestimmten Ereignissen durchsuchen können, und zwar von einem zentralen Ort aus. Sie können EventCombMT so konfigurieren, dass die Ereignisprotokolle auf sehr detaillierte Weise durchsucht werden. Im folgenden finden Sie einige der Suchparameter, die Sie angeben können:
  • Einzelne Ereignis-IDs
  • Mehrere Ereignis-IDs
  • Ein Bereich von Ereignis-IDs
  • Eine Ereignisquelle
  • Spezifischer Ereignistext
  • Wie viele Minuten, Stunden oder Tage zurück zu scannen sind
Einige bestimmte Suchkategorien sind integriert, beispielsweise Kontosperrungen. Die Konto Sperrungs Suche ist vorkonfiguriert, um Ereignis-IDs 529, 644, 675, 676 und 681 einzubeziehen. Darüber hinaus können Sie die Ereignis-ID 12294 hinzufügen, um nach potenziellen Angriffen auf das Administrator Konto zu suchen. Wenn Sie das EventCombMT-Dienstprogramm herunterladen möchten, besuchen Sie die folgende Microsoft-Website:Hinweis Das EventCombMT-Dienstprogramm ist in den Konto Sperrungs-und Verwaltungs Tools herunterladen ("Tools. exe") enthalten. Führen Sie die folgenden Schritte aus, um die Ereignisprotokolle nach Kontosperrungen zu durchsuchen:
  1. Starten Sie EventCombMT.
  2. Klicken Sie im Menü Optionen auf Ausgabeverzeichnis festlegen, wählen Sie einen vorhandenen Ordner aus, oder klicken Sie auf neuer Ordner, um einen neuen Ordner zu erstellen, in dem die Ausgabe gespeichert werden soll, und klicken Sie dann auf OK.Hinweis Wenn Sie kein Ausgabeverzeichnis angeben, lautet der Standardspeicherort C:\temp.
  3. Zeigen Sie im Menü Suchen auf integrierte suchen, und klicken Sie dann auf Kontosperrungen. Alle Domänencontroller für die Domäne werden im Feld zum Suchen auswählen/zum Hinzufügen der rechten Maustaste angezeigt. Im Feld Ereignis- IDs sehen Sie außerdem, dass Ereignis-IDs 529, 644, 675, 676 und 681 hinzugefügt werden.
  4. Geben Sie im Feld Ereignis-IDs ein Leerzeichen ein, und geben Sie 12294 nach der letzten Ereignisnummer ein.
  5. Wählen Sie im Menü Optionen den Eintrag Datumsbereich festlegenaus.
  6. Wählen Sie im Feld von das Anfangsdatum und die Startzeit aus .
  7. Wählen Sie im Feld an das Enddatum und die Endzeit aus, und klicken Sie dann auf OK.
  8. Klicken Sie auf Suchen.
  9. Wenn Sie andere Computer (nicht-Domänencontroller) nach Kontosperrungsereignissen durchsuchen möchten, klicken Sie mit der rechten Maustaste auf das Feld zum Suchen auswählen/zum Hinzufügen der rechten Maustaste, und klicken Sie dann auf ausgewählte Server aus Liste entfernen. Wenn Sie Computer zur Suche hinzufügen möchten, klicken Sie mit der rechten Maustaste auf das Feld zum Suchen auswählen/ zum Hinzufügen der rechten Maustaste, und klicken Sie dann auf eine der Optionen. Wenn Sie beispielsweise Computer einzeln hinzufügen möchten, klicken Sie auf einzelnen Server hinzufügen. Klicken Sie auf den Server oder die Server, die Sie durchsuchen möchten, und klicken Sie dann auf Suchen.
Nach Abschluss der Abfrage können Sie die Suchergebnisse im Ausgabeverzeichnis anzeigen, das Sie in Schritt 2 angegeben haben. Sie können die Dateien auch in Microsoft Excel importieren. Wenn eine sehr große Ausgabedatei vorhanden ist, können Sie die Informationen in eine Microsoft SQL Server-Datenbank importieren und mithilfe von Abfragen die Informationen auswerten. Weitere Informationen zum Dienstprogramm EventCombMT finden Sie in den Hilfedateien, die im Tool enthalten sind.