วิธีใช้โปรแกรมอรรถประโยชน์ EventCombMT เพื่อค้นหาบันทึกเหตุการณ์สำหรับบัญชีผู้ใช้ล็อก


สรุป


บทความนี้จะอธิบายวิธีการใช้โปรแกรมอรรถประโยชน์ EventCombMT (EventCombmt) เพื่อค้นหาบันทึกเหตุการณ์ของคอมพิวเตอร์หลายเครื่องสำหรับบัญชีผู้ใช้ล็อก

ข้อมูลเพิ่มเติม


EventCombMT คือเครื่องมือ multithreaded ที่คุณสามารถใช้เพื่อค้นหาบันทึกเหตุการณ์ของคอมพิวเตอร์ที่แตกต่างกันหลายรายการสำหรับเหตุการณ์ที่เฉพาะเจาะจงทั้งหมดจากตำแหน่งที่ตั้งศูนย์กลางเดียว คุณสามารถกำหนดค่า EventCombMT เพื่อค้นหาบันทึกเหตุการณ์ในแบบที่มีรายละเอียดมาก ต่อไปนี้คือพารามิเตอร์การค้นหาบางอย่างที่คุณสามารถระบุได้ดังนี้
  • รหัสเหตุการณ์แต่ละรหัส
  • รหัสเหตุการณ์หลายรหัส
  • ช่วงของรหัสเหตุการณ์
  • แหล่งที่มาของเหตุการณ์
  • ข้อความเหตุการณ์ที่เฉพาะเจาะจง
  • จำนวนนาทีชั่วโมงหรือวันที่กลับไปยังการสแกน
บางประเภทการค้นหาที่เฉพาะเจาะจงมีอยู่แล้วภายในเช่นบัญชีผู้ใช้ล็อก การค้นหาล็อกบัญชีถูกกำหนดค่าไว้ล่วงหน้าเพื่อรวมเหตุการณ์ Id ๕๒๙, ๖๔๔, ๖๗๕, ๖๗๖และ๖๘๑ นอกจากนี้คุณยังสามารถเพิ่ม ID เหตุการณ์๑๒๒๙๔เพื่อค้นหาการโจมตีที่อาจเกิดขึ้นกับบัญชีผู้ดูแลระบบ เมื่อต้องการดาวน์โหลดโปรแกรมอรรถประโยชน์ EventCombMT แวะไปที่เว็บไซต์ต่อไปนี้ของ Microsoft:หมายเหตุ โปรแกรมอรรถประโยชน์ EventCombMT จะรวมอยู่ในการปิดใช้งานบัญชีผู้ใช้และเครื่องมือการจัดการดาวน์โหลด (ALTools) เมื่อต้องการค้นหาบันทึกเหตุการณ์สำหรับบัญชีผู้ใช้ล็อกให้ทำตามขั้นตอนต่อไปนี้:
  1. เริ่มต้น EventCombMT
  2. บนเมนูตัวเลือกให้คลิกตั้งค่าไดเรกทอรีผลลัพธ์เลือกโฟลเดอร์ที่มีอยู่หรือคลิกโฟลเดอร์ใหม่เพื่อสร้างโฟลเดอร์ใหม่เพื่อบันทึกผลลัพธ์ไปยังแล้วคลิกตกลงหมายเหตุ ถ้าคุณไม่ได้ระบุไดเรกทอรีผลลัพธ์ตำแหน่งที่ตั้งเริ่มต้นคือ C:\Temp.
  3. บนเมนูค้นหาให้ชี้ไปที่สร้างขึ้นในการค้นหาแล้วคลิกบัญชีผู้ใช้ล็อก ตัวควบคุมโดเมนทั้งหมดสำหรับโดเมนจะปรากฏในกล่องเลือกเพื่อค้นหา/คลิกขวาเพื่อเพิ่ม นอกจากนี้ในกล่องEvent idคุณจะเห็นเหตุการณ์ id ๕๒๙, ๖๔๔, ๖๗๕, ๖๗๖และ๖๘๑จะถูกเพิ่ม
  4. ในกล่องEvent IDsให้พิมพ์ช่องว่างแล้วพิมพ์๑๒๒๙๔หลังจากหมายเลขเหตุการณ์สุดท้าย
  5. ในเมนูตัวเลือกให้เลือกตั้งค่าช่วงวันที่
  6. ในกล่องจากให้เลือกวันที่และเวลาเริ่มต้นของคุณ
  7. ในกล่องถึงให้เลือกวันที่และเวลาสิ้นสุดของคุณแล้วคลิกตกลง
  8. คลิกค้นหา
  9. เมื่อต้องการค้นหาคอมพิวเตอร์เครื่องอื่น (ตัวควบคุมโดเมนที่ไม่ใช่โดเมน) สำหรับเหตุการณ์การปิดบัญชีผู้ใช้ให้คลิกขวาที่กล่องเลือกเพื่อค้นหา/คลิกขวาเพื่อเพิ่มจากนั้นคลิกเอาเซิร์ฟเวอร์ที่เลือกออกจากรายการ เมื่อต้องการเพิ่มคอมพิวเตอร์ในการค้นหาให้คลิกขวาที่กล่องเลือกเพื่อค้นหา/คลิกขวาเพื่อเพิ่มจากนั้นคลิกตัวเลือกใดตัวเลือกหนึ่ง ตัวอย่างเช่นเมื่อต้องการเพิ่มคอมพิวเตอร์ครั้งละหนึ่งรายการให้คลิกเพิ่มเซิร์ฟเวอร์เดียว คลิกเซิร์ฟเวอร์หรือเซิร์ฟเวอร์ที่คุณต้องการค้นหาแล้วคลิกค้นหา
เมื่อคิวรีเสร็จสมบูรณ์คุณสามารถดูผลลัพธ์การค้นหาในไดเรกทอรีผลลัพธ์ที่คุณระบุไว้ในขั้นตอนที่2 นอกจากนี้คุณยังสามารถนำเข้าไฟล์ลงใน Microsoft Excel ได้อีกด้วย หรือถ้ามีไฟล์ผลลัพธ์ที่มีขนาดใหญ่มากคุณสามารถนำเข้าข้อมูลลงในฐานข้อมูล Microsoft SQL Server และใช้คิวรีเพื่อประเมินข้อมูล สำหรับข้อมูลเพิ่มเติมเกี่ยวกับโปรแกรมอรรถประโยชน์ EventCombMT ให้ดูที่ไฟล์วิธีใช้ที่รวมอยู่ในเครื่องมือ