Cómo usar la utilidad EventCombMT para buscar registros de eventos en busca de bloqueos de cuentas

En este artículo se describe cómo usar la utilidad EventCombMT (EventCombmt.exe) para buscar bloqueos en los registros de eventos de varios equipos.

Versión original del producto:   Windows Server 2012 R2
Número KB original:   824209

Más información

EventCombMT es una herramienta multiproceso que puedes usar para buscar eventos específicos en los registros de eventos de varios equipos diferentes, todos desde una ubicación central. Puede configurar EventCombMT para buscar en los registros de eventos de forma muy detallada.

Estos son algunos de los parámetros de búsqueda que puede especificar:

  • Individual event IDs
  • Varios iDs de eventos
  • Un intervalo de los IDs de eventos
  • Un origen de eventos
  • Texto del evento específico
  • Cuántos minutos, horas o días de vuelta se analizarán

Algunas categorías de búsqueda específicas están integradas, como bloqueos de cuentas. La búsqueda de bloqueos de cuenta está preconfigurada para incluir los IDs de evento 529, 644, 675, 676 y 681. Además, puede agregar el identificador de evento 12294 para buscar posibles ataques contra la cuenta de administrador.

Para descargar la utilidad EventCombMT, descarga bloqueo de cuentas y herramientas de administración. La utilidad EventCombMT se incluye en la descarga de herramientas de administración y bloqueo de cuentas (ALTools.exe).

Para buscar bloqueos de cuentas en los registros de eventos, siga estos pasos:

  1. Inicia EventCombMT.

  2. En el menú Opciones, haga clic en Establecer directorio de salida, seleccione una carpeta existente o haga clic en Nueva carpeta para crear una nueva carpeta en la que guardar el resultado y, a continuación, haga clic en Aceptar.

    Nota

    Si no especifica un directorio de salida, la ubicación predeterminada es C: \ Temp.

  3. En el menú Búsquedas, elija Búsquedas integradas y, a continuación, haga clic en Bloqueos de cuenta.

    Todos los controladores de dominio del dominio aparecen en el cuadro Seleccionar para buscar/Hacer clic con el botón secundario para agregar. Además, en el cuadro De los datos de eventos, verá que se agregan los 529, 644, 675, 676 y 681.

  4. En el cuadro De eventos, escriba un espacio y, a continuación, escriba 12294 después del último número de evento.

  5. En el menú Opciones, seleccione Establecer intervalo de fechas.

  6. En el cuadro De, elija la fecha y hora de inicio.

  7. En el cuadro Para, elija la fecha y hora de finalización y, a continuación, haga clic en Aceptar.

  8. Haga clic en Buscar.

  9. Para buscar eventos de bloqueo de cuenta en otros equipos (controladores que no son de dominio), haga clic con el botón secundario en el cuadro Seleccionar para buscar/Haga clic con el botón secundario en Para agregar y, a continuación, haga clic en Quitar servidores seleccionados de la lista. Para agregar equipos para buscar, haga clic con el botón secundario en el cuadro Seleccionar para buscar/Haga clic con el botón secundario para agregar y, a continuación, haga clic en una de las opciones. Por ejemplo, para agregar equipos de uno en uno, haga clic en Agregar servidor único. Haga clic en el servidor o servidores que desea buscar y, a continuación, haga clic en Buscar.

Una vez completada la consulta, puede ver los resultados de la búsqueda en el directorio de salida que especificó en el paso 2. También puede importar los archivos a Microsoft Excel. O bien, si hay un archivo de salida muy grande, puede importar la información a una base de datos SQL Server y usar consultas para evaluar la información.

Para obtener más información acerca de la utilidad EventCombMT, consulta los archivos de Ayuda que se incluyen con la herramienta.