EventCombMT 유틸리티를 사용하여 계정 잠금에 대한 이벤트 로그를 검색하는 방법


요약


이 문서는 EventCombMT 유틸리티(EventCombmt.exe)를 사용하여 계정 잠금에 대한 여러 컴퓨터의 이벤트 로그를 검색하는 방법에 대해 설명합니다.

추가 정보


EventCombMT는 특정 이벤트에 대해 서로 다른 여러 컴퓨터의 이벤트 로그를 검색하는 데 사용할 수 있는 다중 스레드 도구입니다. 이벤트 로그를 매우 세부적으로 검색하도록 EventCombMT를 구성할 수 있습니다. 다음은 지정할 수 있는 일부 검색 변주입니다.
  • 개별 이벤트 ID
  • 여러 이벤트 ID
  • 이벤트 ID 범위
  • 이벤트 소스
  • 특정 이벤트 텍스트
  • 살필 수 있는 분, 시간, 또는 일수
일부 특정 검색 범주는 계정 잠금 기능과 같이 기본 탑재됩니다. 계정 잠금 검색은 이벤트 ID 529, 644, 675, 676, 681를 포함하도록 사전 구성되어 있습니다. 또한 이벤트 ID 12294를 추가하여 관리자 계정에 대한 잠재적인 공격을 검색할 수 있습니다.

이 EventCombMT 유틸리티를 다운로드하려면 다음 Microsoft 웹 사이트를 방문하십시오.참고 EventCombMT 유틸리티는 계정 잠금 및 관리 도구 다운로드( ALTools.exe)에 포함되어 있습니다.

이벤트 로그를 검색하려면 다음 단계를 따르십시오.
  1. EventCombMT를 시작합니다.
  2. 옵션 메뉴에서 Output Directory 설정을 클릭하고, 기존 폴더를 선택하거나 새 폴더를 클릭하여 출력 요소를 저장할 새 폴더를 만들고 확인을 클릭 합니다 .

    참고 출력 디렉터리를 지정하지 않으면 기본 위치는 C:\Temp입니다.
  3. 시작 메뉴에서 탑재 검색 기능을 가리킨 다음 Windows 탐색기를 클릭합니다.

    도메인의 모든 도메인 컨트롤러가 검색을 위해 선택/추가를 위해 마우스 오른쪽 단추로 클릭 상자에 나타납니다. 또한 이벤트 ID 상자에는 이벤트 ID 529, 644, 675, 676 및 681가 추가됩니다.
  4. 이벤트 ID 상자에 공백을 입력한 다음 마지막 이벤트 번호 뒤에 12294을 입력합니다.
  5. 옵션 메뉴에서 날짜 범위 설정을 선택합니다.
  6. 보낸 사람 상자에서 시작 날짜와 시간을 선택합니다.
  7. 받는 사람 상자에서 종료 날짜와 시간을 선택하고 확인을 클릭합니다.
  8. 검색을 누릅니다.
  9. 계정 잠금 이벤트에 대해 다른 컴퓨터(도메인 간 컨트롤러)를 검색하려면 검색을 위해 선택/추가를 위해 마우스 오른쪽 단추로 클릭 상자를 마우스 오른쪽 클릭한 다음, 목록에서 선택한 서버 제거를 클릭합니다. 검색할 컴퓨터를 추가하려면 검색을 위해 선택/추가를 위해 마우스 오른쪽 단추로 클릭 상자를 마우스 오른쪽 단추로 클릭한 다음 옵션 중 하나를 클릭합니다. 예를 들어, 한 번에 하나의 컴퓨터를 추가하려면 단일 서버 추가를 클릭합니다. 검색을 하려는 서버를 클릭한 다음, 검색을 클릭합니다.
명령이 수행되면, 두 번째 단계에서 지정한 출력 디렉터리에서 검색 결과를 볼 수 있습니다. 파일을 Microsoft Excel로 가져올 수도 있습니다. 출력 파일이 매우 큰 경우에는, Microsoft SQL Server 데이터베이스로 해당 정보를 가져와 정보 평가를 위해 쿼리를 사용할 수 있습니다.

EventCombMT 유틸리티에 대한 자세한 내용은 도구에 포함되어 있는 도움말 파일을 참조하십시오.