您目前已離線,請等候您的網際網路重新連線

如何使用 EventcombMT 公用程式,在事件記錄檔中搜尋帳戶鎖定 (Account Lockout)

Windows Server 2003 的支援已於 2015 年 7 月 14 日結束

Microsoft 已於 2015 年 7 月 14 日結束對 Windows Server 2003 的支援。此變更已影響您的軟體更新和安全性選項。 瞭解這對您的意義為何且如何持續受保護。

結論
本文將告訴您,如何使用 EventCombMT 公用程式 (Eventcombmt.exe),在多台電腦的事件記錄檔搜尋帳戶鎖定。
其他相關資訊
EventCombMT 是一個多執行緒工具,可以在數台不同電腦的事件記錄檔中搜尋特定事件,而這些搜尋工作全部都是從一個中央位置上執行。您可以設定讓 EventCombMT 以非常詳細的方式來搜尋事件記錄檔。下列是您可以指定的一些搜尋參數:
  • 個別事件 ID
  • 多個事件 ID
  • 事件 ID 的範圍
  • 事件來源
  • 特定事件文字
  • 要回溯至幾分鐘、幾小時或幾天之前開始掃描
有些特定搜尋類別是內建的,例如「帳戶鎖定」(Account Lockout)。「帳戶鎖定」搜尋已預先設定包含 529、644、675、676 和 681 這幾個事件 ID。此外,您還可以加入事件 ID 12294 來搜尋威脅系統管理員帳戶的潛在攻擊。

如果要下載 EventCombMT 公用程式,請造訪下列 Microsoft 網站:注意 EventCombMT 公用程式包含在「帳戶鎖定及管理工具」(Account Lockout and Management Tool) 的下載中 (ALTools.exe) 。

如果要在事件記錄檔搜尋帳戶鎖定,請依照下列步驟執行:
  1. 啟動 EventCombMT。
  2. [Options] 功能表上,按一下 [Set Output Directory],再選取現有的資料夾,或按一下 [建立新資料夾] 以建立儲存輸出的新資料夾,然後按一下 [確定]

    注意 如果沒有指定輸出目錄,則預設的位置是 C:\Temp。
  3. [Searches] 功能表上,指向 [Built In Searches],然後按一下 [Account Lockouts]

    網域的所有網域控制站會出現在 [Select To Search/Right Click To Add] 方塊中。另外,在 [Event IDs] 方塊中,您還會看見加入了事件識別碼 529、644、675、676 和 681。
  4. [Event IDs] 方塊中輸入空格,然後在最後一個事件編號之後輸入 12294
  5. [Options] 功能表上,選取 [Set Date Range]
  6. [From] 方塊中選擇您的開始日期和時間。
  7. [To] 方塊中選擇您的結束日期和時間,然後按一下 [OK]
  8. 按一下 [Search]
  9. 如果要在其他電腦 (非網域控制站) 搜尋帳戶鎖定事件,請用滑鼠右鍵按一下 [Select To Search/Right Click To Add] 方塊,然後按一下 [Remove Selected Servers From List]。如果要加入待搜尋的電腦,請用滑鼠右鍵按一下 [Select To Search/Right Click To Add] 方塊,然後按一下其中一個選項。例如,要一次加入一台電腦,就按一下 [Add Single Server]。按一下您要搜尋的一個或多個伺服器,然後按一下 [Search]
這個查詢程序完成時,您可以在步驟 2 所指定的輸出目錄中檢視搜尋結果,也可以將檔案匯入至 Microsoft Excel。或者,如果輸出檔案非常大,您可以將資訊匯入至 Microsoft SQL Server 資料庫,並使用查詢來評估資訊。

如需有關 EventCombMT 公用程式的詳細資訊,請參閱隨附於該工具的說明檔案。
內容

文章識別碼:824209 - 最後檢閱時間:01/05/2006 08:05:05 - 修訂: 4.3

  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • kbactivedirectory kbwinservds kbhowto KB824209
意見反應
ript" src="https://c.microsoft.com/ms.js" '="">