Så här använder du verktyget EventCombMT för att söka efter utelåsta konton i händelse loggar

Intern Microsoft-supportinformation

BUGG nummer: 7705 (innehålls underhåll)

Sammanfattning

I den här artikeln beskrivs hur du använder EventCombMT-verktyget (EventCombmt. exe) för att söka igenom händelse loggarna på flera datorer för utelåsta konton.

Mer information

EventCombMT är ett flertrådigt verktyg som du kan använda för att söka i händelse loggar med flera olika datorer för specifika händelser, allt från en central plats. Du kan konfigurera EventCombMT för att söka i händelse loggar på ett mycket utförligt sätt. Följande är några av de Sök parametrar som du kan ange:

  • Enskilda händelse-ID

  • Flera händelse-ID

  • Ett antal händelse-ID: n

  • En händelse källa

  • Specifik händelse text

  • Hur många minuter, timmar eller dagar tillbaka till genomsökningen

Vissa specifika Sök kategorier är inbyggda, till exempel utelåsta konton. Sökningen efter konto utelåsning är förkonfigurerad så att den omfattar händelse-ID 529, 644, 675, 676 och 681. Dessutom kan du lägga till händelse-ID 12294 för att söka efter potentiella attacker mot administratörs kontot. Du kan hämta verktyget EventCombMT på följande Microsoft-webbplats:

Obs! EventCombMT-verktyget ingår i nedladdnings verktyg för konto utelåsning och hantering (verktyg. exe). Följ de här stegen om du vill söka efter utelåsta konton i händelse loggen:

  1. Starta EventCombMT.

  2. Klicka på Ange utdatakatalogenalternativ -menyn, markera en befintlig mapp eller klicka på ny mapp för att skapa en ny mapp där du vill spara resultatet och klicka sedan på OK.Obs! Om du inte anger en utdatakatalogen är standard platsen C:\Temp.

  3. Gå till menyn sökningar , peka på inbyggda sökningaroch klicka sedan på utelåsta konton. Alla domänkontrollanter för domänen visas i rutan Markera för att söka/Högerklicka för att lägga till . I rutan händelse- ID : n ser du att händelse-ID 529, 644, 675, 676 och 681 läggs till.

  4. I rutan händelse-ID skriver du ett blank steg och skriver sedan 12294 efter det sista händelse numret.

  5. I menyn alternativ väljer du Ange datum intervall.

  6. I rutan från väljer du start datum och-tid.

  7. I rutan till väljer du slutdatum och-tid och klickar sedan på OK.

  8. Klicka på Sök.

  9. Om du vill söka efter andra datorer (icke-domänkontrollanter) för konto utelåsnings händelser högerklickar du på kryss rutan Markera för att söka/Högerklicka för att lägga till och klickar sedan på ta bort markerade servrar från listan. Om du vill lägga till datorer som du vill söka efter högerklickar du på kryss rutan Markera för att söka/Högerklicka och klickar sedan på ett av alternativen. Om du till exempel vill lägga till datorer en i taget klickar du på Lägg till en server. Klicka på den eller de servrar som du vill söka efter och klicka sedan på Sök.

När frågan har slutförts kan du Visa Sök resultaten i den utdatafil som du angav i steg 2. Du kan också importera filerna till Microsoft Excel. Om det finns en mycket stor utdatafil kan du importera informationen till en Microsoft SQL Server-databas och använda frågor för att utvärdera informationen. Mer information om verktyget EventCombMT finns i hjälpfilerna som ingår i verktyget.

Behöver du mer hjälp?

Utöka dina kunskaper
Utforska utbildning
Få nya funktioner först
Anslut till Microsoft Insiders

Hade du nytta av den här informationen?

Tack för din feedback!

Tack för din feedback! Det låter som att det kan vara bra att koppla dig till en av våra Office-supportrepresentanter.

×