Olay günlüklerinde hesap kilitlemeleri aramak için EventCombMT yardımcı programını kullanma
Bu makalede, hesap kilitlemeleri için birden çok bilgisayarın olay günlüklerinde arama yapmak için EventCombMT yardımcı programının (EventCombmt.exe) nasıl kullanılacağı açıklanmaktadır.
Şunlar için geçerlidir: Windows Server 2012 R2
Özgün KB numarası: 824209
Daha fazla bilgi
EventCombMT, birden çok farklı bilgisayarın olay günlüklerinde belirli olaylar için arama yapmak için kullanabileceğiniz ve tümü tek bir merkezi konumdan gelen çok iş parçacıklı bir araçtır. EventCombMT'yi olay günlüklerinde çok ayrıntılı bir şekilde arama yapmak için yapılandırabilirsiniz.
Aşağıda, belirtebileceğiniz bazı arama parametreleri yer alır:
- Tek olay kimlikleri
- Birden çok olay kimlikleri
- Bir dizi olay kimlikleri
- Olay kaynağı
- Belirli olay metni
- Tarama için kaç dakika, saat veya gün önce
Hesap Kilitlemeleri gibi bazı belirli arama kategorileri yerleşiktir. Hesap Kilitlemeleri araması 529, 644, 675, 676 ve 681 olay kimliklerini içerecek şekilde önceden yapılandırılmıştır. Ayrıca, Yönetici hesabına yönelik olası saldırıları aramak için olay kimliği 12294 ekleyebilirsiniz.
EventCombMT yardımcı programını indirmek için Hesap Kilitleme ve Yönetim Araçları'nı indirin. EventCombMT yardımcı programı, Hesap Kilitleme ve Yönetim Araçları indirmesine (ALTools.exe) dahildir.
Olay günlüklerinde hesap kilitlemelerini aramak için şu adımları izleyin:
EventCombMT'i başlatın.
Seçenekler menüsünde Çıkış Dizinini Ayarla'ya tıklayın, var olan bir klasörü seçin veya çıkışın kaydedildiği yeni bir klasör oluşturmak için Yeni Klasör'e tıklayın ve ardından Tamam'a tıklayın.
Not
Bir çıkış dizini belirtmezseniz, varsayılan konum C:\Temp'dir.
Aramalar menüsünde Yerleşik Aramalar'ın üzerine gelin ve Hesap Kilitlemeleri'ne tıklayın.
Etki alanı için tüm etki alanı denetleyicileri Aramak için Seç/Eklemek için Sağ Tıklayın kutusunda görünür. Ayrıca Olay Kimlikleri kutusunda 529, 644, 675, 676 ve 681 olay kimliklerinin eklendiğini görürsünüz.
Olay Kimlikleri kutusuna bir boşluk yazın ve son olay numarasından sonra 12294 yazın.
Seçenekler menüsünde Tarih Aralığını Ayarla'yı seçin.
Kimden kutusunda başlangıç tarihinizi ve saatinizi seçin.
Bitiş kutusunda bitiş tarihinizi ve saatinizi seçin ve ardından Tamam'a tıklayın.
Ara'ya tıklayın.
Diğer bilgisayarlarda (etki alanı olmayan denetleyiciler) hesap kilitleme olaylarını aramak için, Aramak için Seç/Eklemek için Sağ Tıklayın kutusuna sağ tıklayın ve ardından Seçili Sunucuları Listeden Kaldır'a tıklayın. Aranacak bilgisayarları eklemek için, Aramak için Seç/Ekle'ye Sağ Tıklayın kutusuna sağ tıklayın ve ardından seçeneklerden birine tıklayın. Örneğin, bilgisayarları birer birer eklemek için Tek Sunucu Ekle'ye tıklayın. Aramak istediğiniz sunucuya veya sunucuya tıklayın ve ardından Ara'ya tıklayın.
Sorgu tamamlandığında, arama sonuçlarını 2. adımda belirttiğiniz çıkış dizininde görüntüleyebilirsiniz. Dosyaları Microsoft Excel'e de aktarabilirsiniz. Çok büyük bir çıkış dosyası varsa, bilgileri bir SQL Server veritabanına aktarabilir ve bilgileri değerlendirmek için sorguları kullanabilirsiniz.
EventCombMT yardımcı programı hakkında daha fazla bilgi için, araçla birlikte gelen Yardım dosyalarına bakın.
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin