Cómo utilizar la utilidad EventCombMT para buscar registros de sucesos de bloqueos de cuentas

Resumen

Este artículo describe cómo utilizar la utilidad EventCombMT (EventCombmt.exe) para buscar los registros de sucesos de varios equipos de bloqueos de cuentas.

Más información

EventCombMT es una herramienta multiproceso que puede utilizar para buscar los registros de sucesos de varios equipos diferentes eventos específicos, todo ello desde una ubicación central. Puede configurar EventCombMT para buscar los registros de sucesos de forma muy detallada. Los siguientes son algunos de los parámetros de búsqueda que puede especificar:
  • Identificadores de sucesos individuales.
  • Varios Id.
  • Un intervalo de identificadores de sucesos
  • Un origen de eventos
  • Texto del evento específico
  • ¿Cuántos minutos, horas o días atrás para analizar
Algunas categorías de búsqueda específica están integrados, como los bloqueos de cuenta. La búsqueda de bloqueos de cuentas está preconfigurada para incluir identificadores de evento 529, 644, 675, 676 y 681. Además, puede agregar el identificador de evento 12294 para buscar posibles ataques contra la cuenta de administrador.

Para descargar la utilidad EventCombMT, visite el siguiente sitio Web de Microsoft:Nota: La utilidad EventCombMT se incluye en el bloqueo de cuenta y descarga de herramientas de administración (ALTools.exe).

Para buscar los registros de sucesos de bloqueos de cuenta, siga estos pasos:
  1. Inicie EventCombMT.
  2. En el menú Opciones , haga clic en Establecer el directorio de salida, seleccione una carpeta existente, o haga clic en Nueva carpeta para crear una nueva carpeta para guardar el resultado y, a continuación, haga clic en Aceptar.

    Nota: Si no especifica un directorio de salida, la ubicación predeterminada es C:\Temp.
  3. En el menú búsquedas , seleccione Built In Searchesy, a continuación, haga clic en Bloqueos de cuentas.

    Todos los controladores de dominio para el dominio aparecen en el cuadro Seleccionar a Search/Right Click para añadir . Además, en el cuadro Event IDs , verá que se agregan identificadores de evento 529, 644, 675, 676 y 681.
  4. En el cuadro ID , escriba un espacio y, a continuación, escriba 12294 después del último número de evento.
  5. En el menú Opciones , seleccione Definir intervalo de fechas.
  6. En el cuadro desde , elija la fecha y la hora.
  7. En el cuadro para elegir la fecha y hora final y, a continuación, haga clic en Aceptar.
  8. Haga clic en Buscar.
  9. Para buscar otros equipos (controladores sin dominio) para los eventos de bloqueo de cuenta, haga clic en el cuadro Seleccionar a Search/Right Click para añadir y, a continuación, haga clic en Eliminar servidores seleccionados de la lista. Para agregar equipos para buscar, haga clic en el cuadro Seleccionar a Search/Right Click para añadir y, a continuación, haga clic en una de las opciones. Por ejemplo, para agregar los equipos uno a la vez, haga clic en Agregar servidor único. Haga clic en el servidor o servidores a los que desea buscar y, a continuación, haga clic en Buscar.
Cuando finalice la consulta, puede ver los resultados de búsqueda en el directorio de salida que especificó en el paso 2. También puede importar los archivos de Microsoft Excel. O bien, si hay un archivo de salida muy grande, puede importar esta información en una base de datos de Microsoft SQL Server y utilizar consultas para evaluar la información.

Para obtener más información acerca de la utilidad EventCombMT, consulte los archivos de ayuda que se incluye con la herramienta.
Propiedades

Id. de artículo: 824209 - Última revisión: 17 ene. 2017 - Revisión: 1

Comentarios