KB824209:如何使用 EventcombMT 实用工具搜索事件日志以查找帐户锁定
概要
本文介绍了如何使用 EventCombMT 实用工具 (Eventcombmt.exe) 搜索多台计算机的事件日志以查找帐户锁定。
更多信息
EventCombMT 是一种多线程工具,可将其用于搜索多台不同计算机的事件日志以查找特定事件,所有搜索都是从一个中央位置进行的。可以将 EventCombMT 配置为以非常详细的方式搜索事件日志。以下参数是可以指定的一些搜索参数:
• 单个事件 ID
• 多个事件 ID
• 事件 ID 范围
• 事件源
• 特定事件文本
• 向后扫描的分钟数、小时数或天数
某些特定的搜索类别是内置的,如帐户锁定。“帐户锁定”搜索被预配置为包含事件 ID 529、644、675、676 和 681。此外,还可以添加事件 ID 12294 来搜索对“管理员”帐户的潜在攻击。
要下载 EventCombMT 实用工具,请访问下面的 Microsoft 网站:
http://www.microsoft.com/downloa ... 3-8629-b999adde0b9e (http://www.microsoft.com/downloa ... -8629-b999adde0b9e)
注意:EventCombMT 实用工具包含在 Account Lockout and Management Tools 下载 (ALTools.exe) 中。
要搜索事件日志以查找帐户锁定,请按照下列步骤操作:
1. 启动 EventCombMT。
2. 在“文件”菜单上,单击“设置输出目录”,选择一个现有的文件夹,或者单击“新建文件夹”创建一个新的文件夹以将输出内容保存到其中,然后单击“确定”。
注意:如果您没有指定输出目录,则使用默认位置 C:\Temp。
3. 在“搜索”菜单上,指向“内置搜索”,然后单击“帐户锁定”。
该域的所有域控制器都将显示在“选中以进行搜索/右键单击以进行添加”框中。同时,在“事件 ID”框中,将显示已添加的事件 ID 529、644、675、676 和 681。
4. 在“事件 ID”框中键入一个空格,然后在最后一个事件号码后键入 12294。
5. 在“向后扫描”框中,键入向后搜索的分钟数、小时数或天数的值,然后根据需要单击“分钟数”、“小时数”或“天数”。
6. 单击“搜索”。
7. 要搜索其他计算机(非域控制器)以查找帐户锁定事件,请右键单击“选中以进行搜索/右键单击以进行添加”框,然后单击“从列表中删除所选服务器”。要添加搜索的计算机,请右键单击“选中以进行搜索/右键单击以进行添加”框,然后单击其中一个选项。例如,要一次添加一台计算机,请单击“添加单台服务器”。单击要搜索的一台或多台服务器,然后单击“搜索”。
查询完成后,可以在步骤 2 中指定的输出目录中查看搜索结果。也可以将这些文件导入 Microsoft Excel。或者,如果输出文件非常大,您也可以将该信息导入到 Microsoft SQL Server 数据库中并使用查询来计算该信息。
有关 EventCombMT 实用工具的更多信息,请参见该工具附带的“帮助”文件。
--------------------------------------------------------------------------------
这篇文章中的信息适用于:
• Microsoft Windows Server 2003 Enterprise Edition
• Microsoft Windows Server 2003 Standard Edition
• Microsoft Windows 2000 Server
关键字: kbactivedirectory kbwinservds kbhowto KB824209
URL:
http://support.microsoft.com/kb/824209/zh-cn?spid=3198
本文介绍了如何使用 EventCombMT 实用工具 (Eventcombmt.exe) 搜索多台计算机的事件日志以查找帐户锁定。
更多信息
EventCombMT 是一种多线程工具,可将其用于搜索多台不同计算机的事件日志以查找特定事件,所有搜索都是从一个中央位置进行的。可以将 EventCombMT 配置为以非常详细的方式搜索事件日志。以下参数是可以指定的一些搜索参数:
• 单个事件 ID
• 多个事件 ID
• 事件 ID 范围
• 事件源
• 特定事件文本
• 向后扫描的分钟数、小时数或天数
某些特定的搜索类别是内置的,如帐户锁定。“帐户锁定”搜索被预配置为包含事件 ID 529、644、675、676 和 681。此外,还可以添加事件 ID 12294 来搜索对“管理员”帐户的潜在攻击。
要下载 EventCombMT 实用工具,请访问下面的 Microsoft 网站:
http://www.microsoft.com/downloa ... 3-8629-b999adde0b9e (http://www.microsoft.com/downloa ... -8629-b999adde0b9e)
注意:EventCombMT 实用工具包含在 Account Lockout and Management Tools 下载 (ALTools.exe) 中。
要搜索事件日志以查找帐户锁定,请按照下列步骤操作:
1. 启动 EventCombMT。
2. 在“文件”菜单上,单击“设置输出目录”,选择一个现有的文件夹,或者单击“新建文件夹”创建一个新的文件夹以将输出内容保存到其中,然后单击“确定”。
注意:如果您没有指定输出目录,则使用默认位置 C:\Temp。
3. 在“搜索”菜单上,指向“内置搜索”,然后单击“帐户锁定”。
该域的所有域控制器都将显示在“选中以进行搜索/右键单击以进行添加”框中。同时,在“事件 ID”框中,将显示已添加的事件 ID 529、644、675、676 和 681。
4. 在“事件 ID”框中键入一个空格,然后在最后一个事件号码后键入 12294。
5. 在“向后扫描”框中,键入向后搜索的分钟数、小时数或天数的值,然后根据需要单击“分钟数”、“小时数”或“天数”。
6. 单击“搜索”。
7. 要搜索其他计算机(非域控制器)以查找帐户锁定事件,请右键单击“选中以进行搜索/右键单击以进行添加”框,然后单击“从列表中删除所选服务器”。要添加搜索的计算机,请右键单击“选中以进行搜索/右键单击以进行添加”框,然后单击其中一个选项。例如,要一次添加一台计算机,请单击“添加单台服务器”。单击要搜索的一台或多台服务器,然后单击“搜索”。
查询完成后,可以在步骤 2 中指定的输出目录中查看搜索结果。也可以将这些文件导入 Microsoft Excel。或者,如果输出文件非常大,您也可以将该信息导入到 Microsoft SQL Server 数据库中并使用查询来计算该信息。
有关 EventCombMT 实用工具的更多信息,请参见该工具附带的“帮助”文件。
--------------------------------------------------------------------------------
这篇文章中的信息适用于:
• Microsoft Windows Server 2003 Enterprise Edition
• Microsoft Windows Server 2003 Standard Edition
• Microsoft Windows 2000 Server
关键字: kbactivedirectory kbwinservds kbhowto KB824209
URL:
http://support.microsoft.com/kb/824209/zh-cn?spid=3198