Utiliser l’utilitaire EventCombMT pour rechercher les journaux d’événements pour les verrouillages de compte


Résumé


Cet article décrit comment utiliser l’utilitaire EventCombMT (EventCombmt. exe) pour effectuer des recherches dans les journaux d’événements de plusieurs ordinateurs pour les verrouillages de compte.

Informations supplémentaires


EventCombMT est un outil multithread qui vous permet d’effectuer des recherches dans les journaux d’événements de différents ordinateurs pour des événements spécifiques, tous à partir d’un emplacement centralisé. Vous pouvez configurer EventCombMT pour rechercher les journaux d’événements de manière très détaillée. Voici quelques-uns des paramètres de recherche que vous pouvez spécifier :
  • ID d’événement individuels
  • ID d’événement multiples
  • Plage d’ID d’événement
  • Source d’événement
  • Texte d’événement spécifique
  • Le nombre de minutes, d’heures ou de jours de retour à analyser
Certaines catégories de recherche spécifiques sont intégrées, telles que les verrouillages de compte. La recherche de verrouillage de compte est préconfigurée de façon à inclure les ID d’événement 529, 644, 675, 676 et 681. De plus, vous pouvez ajouter l’ID d’événement 12294 pour rechercher des attaques potentielles au niveau du compte d’administrateur. Pour télécharger l’utilitaire EventCombMT, visitez le site Web de Microsoft suivant :Remarque L’utilitaire EventCombMT est inclus dans le téléchargement des outils de verrouillage et de gestion des comptes (ALTools. exe). Pour effectuer une recherche dans les journaux des événements pour les verrouillages de compte, procédez comme suit :
  1. Démarrez EventCombMT.
  2. Dans le menu options , cliquez sur définir le répertoire de sortie, sélectionnez un dossier existant ou cliquez sur nouveau dossier pour créer un dossier dans lequel enregistrer la sortie, puis cliquez sur OK.Remarque Si vous ne spécifiez pas de répertoire de sortie, l’emplacement par défaut est C:\temp.
  3. Dans le menu recherches , pointez sur recherches intégrées, puis cliquez sur verrouillages de comptes. Tous les contrôleurs de domaine pour le domaine apparaissent dans la zone Sélectionner pour la recherche ou cliquer avec le bouton droit pour ajouter . Par ailleurs, dans la zone ID d’événement , vous pouvez voir les ID d’événement 529, 644, 675, 676 et 681 ajoutés.
  4. Dans la zone ID d’événement , tapez un espace, puis tapez 12294 après le dernier numéro de l’événement.
  5. Dans le menu options , sélectionnez définir la plage de dates.
  6. Dans la zone de, sélectionnez la date et l’heure de début.
  7. Dans la zone à , sélectionnez la date et l’heure de fin, puis cliquez sur OK.
  8. Cliquez sur Rechercher.
  9. Pour effectuer une recherche sur d’autres ordinateurs (contrôleurs hors domaine), cliquez avec le bouton droit sur la zone Sélectionner pour la recherche ou cliquer avec le bouton droit pour ajouter , puis cliquez sur Supprimer les serveurs sélectionnés dans la liste. Pour ajouter des ordinateurs à la recherche, cliquez avec le bouton droit sur la zone Sélectionner pour la recherche ou cliquer avec le bouton droit pour ajouter , puis cliquez sur l’une des options. Par exemple, pour ajouter un ordinateur à la fois, cliquez sur Ajouter un serveur unique. Cliquez sur le ou les serveurs dans lesquels vous voulez effectuer une recherche, puis cliquez sur Rechercher.
À la fin de la requête, vous pouvez afficher les résultats de la recherche dans le répertoire de sortie spécifié à l’étape 2. Vous pouvez également importer les fichiers dans Microsoft Excel. Ou bien, si un fichier de sortie est très volumineux, vous pouvez importer les informations dans une base de données Microsoft SQL Server et utiliser des requêtes pour évaluer les informations. Pour plus d’informations sur l’utilitaire EventCombMT, voir les fichiers d’aide inclus dans l’outil.