Como usar o utilitário EventCombMT para pesquisar logs de eventos em busca de bloqueios de conta

Este artigo descreve como usar o utilitário EventCombMT (EventCombmt.exe) para pesquisar os logs de eventos de vários computadores em busca de bloqueios de conta.

Aplica-se a: Windows Server 2012 R2
Número de KB original: 824209

Mais informações

EventCombMT é uma ferramenta multithread que você pode usar para pesquisar os logs de eventos de vários computadores diferentes para eventos específicos, todos de um local central. Você pode configurar EventCombMT para pesquisar os logs de eventos de forma muito detalhada.

A seguir estão alguns dos parâmetros de pesquisa que você pode especificar:

  • IDs de evento individuais
  • Várias IDs de evento
  • Um intervalo de IDs de evento
  • Uma fonte de evento
  • Texto de evento específico
  • Quantos minutos, horas ou dias de volta para examinar

Algumas categorias de pesquisa específicas são internas, como bloqueios de conta. A pesquisa Bloqueios de Conta está pré-configurada para incluir as IDs de evento 529, 644, 675, 676 e 681. Além disso, você pode adicionar a ID do evento 12294 para pesquisar possíveis ataques contra a conta administrador.

Para baixar o utilitário EventCombMT, baixe Ferramentas de Bloqueio e Gerenciamento da Conta. O utilitário EventCombMT está incluído no download de Ferramentas de Gerenciamento e Bloqueio de Conta (ALTools.exe).

Para pesquisar os logs de eventos em busca de bloqueios de conta, siga estas etapas:

  1. Iniciar EventCombMT.

  2. No menu Opções , clique em Definir Diretório de Saída, selecione uma pasta existente ou clique em Nova Pasta para criar uma nova pasta para salvar a saída e clique em OK.

    Observação

    Se você não especificar um diretório de saída, o local padrão será C:\Temp.

  3. No menu Pesquisas , aponte para Pesquisas Internas e clique em Bloqueios de Conta.

    Todos os controladores de domínio para o domínio aparecem na caixa Selecionar Para Pesquisar/Clique com o Botão Direito do Mouse para Adicionar . Além disso, na caixa IDs de evento , você verá que as IDs do evento 529, 644, 675, 676 e 681 são adicionadas.

  4. Na caixa IDs de evento , digite um espaço e digite 12294 após o último número de evento.

  5. No menu Opções , selecione Definir Intervalo de Datas.

  6. Na caixa De , escolha sua data e hora de início.

  7. Na caixa Para , escolha sua data e hora de término e clique em OK.

  8. Clique em Pesquisar.

  9. Para pesquisar outros computadores (controladores que não são de domínio) em eventos de bloqueio de conta, clique com o botão direito do mouse na caixa Selecionar Para Pesquisar/Clique com o Botão Direito para Adicionar e clique em Remover Servidores Selecionados da Lista. Para adicionar computadores à pesquisa, clique com o botão direito do mouse na caixa Selecionar Para Pesquisar/Direito clique em Adicionar e clique em uma das opções. Por exemplo, para adicionar computadores um de cada vez, clique em Adicionar Servidor Único. Clique no servidor ou nos servidores que você deseja pesquisar e clique em Pesquisar.

Quando a consulta for concluída, você poderá exibir os resultados da pesquisa no diretório de saída especificado na etapa 2. Você também pode importar os arquivos para o Microsoft Excel. Ou, se houver um arquivo de saída muito grande, você poderá importar as informações para um banco de dados SQL Server e usar consultas para avaliar as informações.

Para obter mais informações sobre o utilitário EventCombMT, consulte os arquivos de ajuda incluídos na ferramenta.