Het hulpprogramma EventCombMT gebruiken om gebeurtenislogboeken voor accountvergrendelingen te zoeken


Samenvatting


In dit artikel wordt uitgelegd hoe u het hulpprogramma EventCombMT (EventCombmt. exe) gebruikt om te zoeken in de gebeurtenislogboeken van meerdere computers voor het vergrendelen van accounts.

Meer informatie


EventCombMT is een hulpmiddel met meerdere threads waarmee u in de gebeurtenissenlogboeken van diverse verschillende computers kunt zoeken naar specifieke gebeurtenissen, allemaal vanaf één centrale locatie. U kunt EventCombMT zodanig configureren dat de logboeken op een zeer gedetailleerde manier worden doorzocht. Hier volgen enkele van de zoekparameters die u kunt opgeven:
  • Afzonderlijke gebeurtenis-Id's
  • Meerdere gebeurtenis-Id's
  • Een reeks gebeurtenis-Id's
  • Een gebeurtenisbron
  • Specifieke gebeurtenistekst
  • Hoeveel minuten, uren of dagen terug om te scannen
Sommige specifieke zoekcategorieën zijn ingebouwd, zoals account vergrendelingen. De zoekfunctie van een account is vooraf geconfigureerd voor het opnemen van gebeurtenis-Id's 529, 644, 675, 676 en 681. Daarnaast kunt u gebeurtenis-ID 12294 toevoegen waarmee u kunt zoeken naar mogelijke aanvallen op de account van de beheerder. Als u het hulpprogramma EventCombMT wilt downloaden, gaat u naar de volgende Microsoft-website:Opmerking Het hulpprogramma EventCombMT maakt deel uit van de downloads van de account vergrendeling en het beheer van de beheerder (almede werkers. exe). Ga als volgt te werk als u wilt zoeken in de gebeurtenislogboeken voor accountvergrendelingen:
  1. Start EventCombMT.
  2. Selecteer in het menu Opties de optie uitvoer Directory instellen, selecteer een bestaande map of klik op nieuwe map als u een nieuwe map wilt maken waarin de uitvoer moet worden opgeslagen en klik vervolgens op OK.Opmerking Als u geen uitvoer directory opgeeft, is de standaardlocatie C:\Temp.
  3. Wijs in het menu zoekopdrachten de optie ingebouwde zoekopdrachtenaan en klik vervolgens op account vergrendelingen. Alle domeincontrollers voor het domein worden weergegeven in het vak selecteren om te zoeken/rechtsklikken om toe te voegen . Daarnaast ziet u in het vak gebeurtenis-id's dat de gebeurtenissen 529, 644, 675, 676 en 681 zijn toegevoegd.
  4. Typ in het vak gebeurtenis-id's een spatie en typ 12294 na het laatste gebeurtenisnummer.
  5. Selecteer in het menu Opties de optie Datumbereik instellen.
  6. Kies in het vak van de begindatum en-tijd.
  7. Kies in het vak aan de einddatum en-tijd en klik vervolgens op OK.
  8. Klik op zoeken.
  9. Als u wilt zoeken op andere computers (niet-domeincontrollers), klikt u met de rechtermuisknop op het vak selecteren om te zoeken of klik met de rechtermuisknop op het vak selecteren om toe te voegen en klikt u vervolgens op geselecteerde servers uit lijst verwijderen. Als u computers wilt toevoegen om te zoeken, klikt u met de rechtermuisknop op het vak selecteren om te zoeken of klik met de rechtermuisknop op een van de opties. Als u bijvoorbeeld computers één voor één wilt toevoegen, klikt u op Eén server toevoegen. Klik op de server of servers waarop u wilt zoeken en klik op zoeken.
Wanneer de query is voltooid, kunt u de zoekresultaten bekijken in de uitvoermap die u in stap 2 hebt opgegeven. U kunt de bestanden ook importeren in Microsoft Excel. Als er sprake is van een zeer groot uitvoerbestand, kunt u de gegevens importeren in een Microsoft SQL Server-database en query's gebruiken om de gegevens te evalueren. Zie voor meer informatie over het hulpprogramma EventCombMT de Help-bestanden die in het hulpprogramma zijn opgenomen.