你目前正处于脱机状态,正在等待 Internet 重新连接

如何使用 EventCombMT 实用工具搜索事件日志以查找帐户锁定

针对 Windows Server 2003 的支持已于 2015 年 7 月 14 日终止。

Microsoft 已于 2015 年 7 月 14 日终止了对于 Windows Server 2003 的支持。该更改已影响到您的软件更新和安全选项。 了解这一措施对于您的含义以及如何继续保持受保护状态。

概要
本文介绍如何使用 EventCombMT 实用工具 (EventCombmt.exe) 搜索多台计算机的事件日志以查找帐户锁定。
更多信息
EventCombMT 是一种多线程工具,可将其用于搜索多台不同计算机的事件日志以查找特定事件,所有搜索都是从一个中央位置进行的。可以将 EventCombMT 配置为以非常详细的方式搜索事件日志。以下参数是可以指定的一些搜索参数:
  • 单个事件 ID
  • 多个事件 ID
  • 事件 ID 范围
  • 事件源
  • 特定事件文本
  • 向后扫描的分钟数、小时数或天数
某些特定的搜索类别是内置的,如帐户锁定。“帐户锁定”搜索被预配置为包含事件 ID 529、644、675、676 和 681。此外,还可以添加事件 ID 12294 来搜索对“管理员”帐户的潜在攻击。

要下载 EventCombMT 实用工具,请访问下面的 Microsoft 网站:注意:EventCombMT 实用工具包含在 Account Lockout and Management Tools 下载 (ALTools.exe) 中。

要搜索事件日志以查找帐户锁定,请按照下列步骤操作:
  1. 启动 EventCombMT。
  2. 在“选项”菜单上,单击“设置输出目录”,选择现有文件夹,或单击“新建文件夹”以创建新的文件夹来保存输出,然后单击“确定”。

    注意:如果您没有指定输出目录,则使用默认位置 C:\Temp。
  3. 在“搜索”菜单上,指向“内置搜索”,然后单击“帐户锁定”。

    该域的所有域控制器都将显示在“选中以进行搜索/右键单击以进行添加”框中。同时,在“事件 ID”框中,将显示已添加的事件 ID 529、644、675、676 和 681。
  4. 在“事件 ID”框中键入一个空格,然后在最后一个事件号码后键入 12294
  5. 在“选项”菜单上,选择“设置日期范围”。
  6. 在“从”框中,选择起始日期和时间。
  7. 在“到”框中,选择结束日期和时间,然后单击“确定”。
  8. 单击“搜索”。
  9. 要搜索其他计算机(非域控制器)以查找帐户锁定事件,请右键单击“选中以进行搜索/右键单击以进行添加”框,然后单击“从列表中删除所选服务器”。要添加搜索的计算机,请右键单击“选中以进行搜索/右键单击以进行添加”框,然后单击其中一个选项。例如,要一次添加一台计算机,请单击“添加单台服务器”。单击要搜索的一台或多台服务器,然后单击“搜索”。
查询完成后,可以在步骤 2 中指定的输出目录中查看搜索结果。也可以将这些文件导入 Microsoft Excel。或者,如果输出文件非常大,您也可以将该信息导入到 Microsoft SQL Server 数据库中并使用查询来计算该信息。

有关 EventCombMT 实用工具的更多信息,请参见该工具附带的“帮助”文件。
属性

文章 ID:824209 - 上次审阅时间:02/20/2006 11:17:00 - 修订版本: 4.1

Microsoft Windows Server 2003 Enterprise Edition, Microsoft Windows Server 2003 Standard Edition, Microsoft Windows 2000 Server

  • kbhowto kbactivedirectory kbwinservds KB824209
反馈