Cómo usar la utilidad EventCombMT para buscar registros de eventos para los bloqueos de cuenta


Resumen


En este artículo se describe cómo usar la utilidad EventCombMT (EventCombmt. exe) para buscar bloqueos de cuenta en los registros de eventos de varios equipos.

Más información


EventCombMT es una herramienta de subprocesamiento múltiple que puede usar para buscar eventos específicos en los registros de eventos de varios equipos, todo desde una ubicación centralizada. Puede configurar EventCombMT para buscar los registros de eventos de una manera muy detallada. A continuación se muestran algunos de los parámetros de búsqueda que puede especificar:
  • Identificadores de eventos individuales
  • Varios identificadores de evento
  • Un intervalo de identificadores de eventos
  • Un origen de eventos
  • Texto de evento específico
  • Cuántos minutos, horas o días volver al examen
Algunas categorías de búsqueda específicas están integradas, como bloqueos de cuenta. La búsqueda de bloqueos de cuenta está preconfigurada para incluir los ID de evento 529, 644, 675, 676 y 681. Además, puede Agregar el identificador de evento 12294 para buscar posibles ataques contra la cuenta de administrador. Para descargar la utilidad EventCombMT, visite el siguiente sitio web de Microsoft:Nota La utilidad EventCombMT se incluye en la descarga de las herramientas de bloqueo y administración de cuentas (astools. exe). Para buscar en los registros de eventos los bloqueos de cuenta, siga estos pasos:
  1. Inicie EventCombMT.
  2. En el menú Opciones , haga clic en establecer directorio de resultados, seleccione una carpeta existente o haga clic en nueva carpeta para crear una nueva carpeta en la que guardar los resultados y, a continuación, haga clic en Aceptar.Nota Si no especifica un directorio de salida, la ubicación predeterminada es C:\Temp.
  3. En el menú búsquedas , seleccione búsquedas integradasy, a continuación, haga clic en bloqueos de cuenta. Todos los controladores de dominio del dominio aparecen en el cuadro seleccionar para buscar/hacer clic con el botón secundario del mouse para agregar . Además, en el cuadro Event IDS verá que se agregan los identificadores de evento 529, 644, 675, 676 y 681.
  4. En el cuadro identificadores de eventos , escriba un espacio y, después, escriba 12294 después del último número de evento.
  5. En el menú Opciones , seleccione establecer intervalo de fechas.
  6. En el cuadro de , elija la fecha y la hora de inicio.
  7. En el cuadro para , elija la fecha y hora de finalización y, a continuación, haga clic en Aceptar.
  8. Haga clic en Buscar.
  9. Para buscar sucesos de bloqueo de cuenta en otros equipos (controladores de no dominio), haga clic con el botón derecho en el cuadro seleccionar para buscar/hacer clic con el botón derecho para agregar y, a continuación, haga clic en quitar los servidores seleccionados de la lista. Para agregar equipos a la búsqueda, haga clic con el botón secundario en el cuadro seleccionar para buscar/hacer clic con el botón secundario del mouse para agregar y, a continuación, haga clic en una de las opciones. Por ejemplo, para agregar equipos a la vez, haga clic en Agregar servidor único. Haga clic en el servidor o servidores que desee buscar y, a continuación, haga clic en Buscar.
Una vez completada la consulta, puede ver los resultados de la búsqueda en el directorio de resultados que especificó en el paso 2. También puede importar los archivos a Microsoft Excel. O bien, si hay un archivo de resultados muy grande, puede importar la información en una base de datos de Microsoft SQL Server y usar consultas para evaluar la información. Para obtener más información sobre la utilidad EventCombMT, consulte los archivos de ayuda que se incluyen con la herramienta.