Wie Sie EventCombMT-Tool Ereignisprotokolle Kontensperrungen durchsuchen

Zusammenfassung

Dieser Artikel beschreibt das Dienstprogramm EventCombMT (EventCombmt.exe) verwenden, um die Ereignisprotokolle mehrerer Computer für Kontensperrungen suchen.

Weitere Informationen

EventCombMT ist ein Multithreadtool, das Sie verwenden können, um die Ereignisprotokolle von verschiedenen Computern nach bestimmten Ereignissen von einem zentralen Ort aus zu durchsuchen. EventCombMT, um die Ereignisprotokolle sehr detailliert suchen können. Es folgen einige der Parameter, die Sie angeben können:
  • Einzelne Ereignis-IDs
  • Mehrere Ereignis-IDs
  • Bereich der Ereignis-IDs
  • Ereignisquelle
  • Bestimmte Ereignistext
  • Wie viele Minuten, Stunden oder Tagen zurück zu scannen
Einige bestimmte Kategorien sind wie Account Lockouts integriert. Der Account Lockouts Suche wird in Ereignis-IDs 529, 644 675, 676 und 681 enthalten. Darüber hinaus können Sie Ereignis-ID 12294 für potenzielle Angriffe auf das Administratorkonto Suche hinzufügen.

Downloaden des Dienstprogramms EventCombMT finden Sie auf der folgenden Microsoft-Website:Hinweis Das Dienstprogramm EventCombMT gehört das Konto gesperrt und Verwaltungstools herunterladen (ALTools.exe).

Gehen Sie folgendermaßen vor, um die Ereignisprotokolle Kontensperrungen suchen:
  1. Starten Sie EventCombMT.
  2. Im Menü Optionen klicken Sie auf Ausgabeverzeichnis festlegenwählen Sie vorhandenen Ordner aus oder klicken Sie auf Neuen Ordner erstellen einen neuen Ordner zu speichern, und klicken Sie dann auf OK.

    Hinweis Wenn Sie kein Ausgabeverzeichnis angeben, ist der Standardspeicherort C:\Temp.
  3. Im Menü Searches auf Built In Searches, und klicken Sie anschließend auf Account Lockouts.

    Alle Domänencontroller für die Domäne werden im Wählen, Search/Right Click To Add . Außerdem sehen im Ereignis-ID 529, 644 675, 676 und 681 Ereignis-IDs hinzugefügt werden.
  4. Leerzeichen Sie im Feld Ereignis-IDs ein, und geben Sie 12294 nach der letzten Ereignisnummer.
  5. Wählen Sie im Menü Optionen Datumsbereich festlegen.
  6. Wählen Sie im Feld von Datum und die Uhrzeit.
  7. Wählen Sie im Feld Endedatum und Uhrzeit aus und klicken Sie auf OK.
  8. Klicken Sie auf Suchen.
  9. Um andere Computer (nicht-Domänencontroller) Account Lockout Ereignisse zu suchen, mit der rechten Maustaste im Feld Auswählen auf Search/Right Click To Add und dann auf Ausgewählte Server aus der Liste entfernen. Zum Hinzufügen von Computern zu suchen Rechtsklickfelder Wählen, Search/Right Click To Add , und klicken Sie auf eine der Optionen. Klicken Sie beispielsweise zum Computer hinzufügen, auf Add Single Server. Klicken Sie auf den oder die Server, die Sie durchsuchen möchten und klicken Sie auf Suchen.
Nach Abschluss die Abfrage können Sie die Suchergebnisse im Ausgabeverzeichnis anzeigen, die Sie in Schritt 2 angegeben. Sie können auch Dateien in Microsoft Excel importieren. Oder wenn großen Ausgabedatei vorhanden ist, können die Informationen in einer Microsoft SQL Server-Datenbank importieren und verwenden Abfragen, um die Informationen.

Weitere Informationen zum Dienstprogramm EventCombMT finden Sie die Hilfedateien, die mit dem Tool enthalten sind.
Eigenschaften

Artikelnummer: 824209 – Letzte Überarbeitung: 16.01.2017 – Revision: 1

Feedback