Uso de la utilidad EventCombMT para buscar bloqueos de cuenta en los registros de eventos

En este artículo se describe cómo usar la utilidad EventCombMT (EventCombmt.exe) para buscar bloqueos de cuenta en los registros de eventos de varios equipos.

Se aplica a: Windows Server 2012 R2
Número de KB original: 824209

Más información

EventCombMT es una herramienta multiproceso que puede usar para buscar en los registros de eventos de varios equipos diferentes eventos específicos, todos ellos desde una ubicación central. Puede configurar EventCombMT para buscar los registros de eventos de forma muy detallada.

Estos son algunos de los parámetros de búsqueda que puede especificar:

• Identificadores de eventos individuales
• Identificadores de varios eventos
• Un intervalo de identificadores de eventos
• Origen de un evento
• Texto de evento específico
• Número de minutos, horas o días atrás para examinar

Algunas categorías de búsqueda específicas están integradas, como bloqueos de cuenta. La búsqueda bloqueos de cuenta está preconfigurada para incluir los identificadores de evento 529, 644, 675, 676 y 681. Además, puede agregar el identificador de evento 12294 para buscar posibles ataques contra la cuenta de administrador.

Para descargar la utilidad EventCombMT, descargue Herramientas de administración y bloqueo de cuentas. La utilidad EventCombMT se incluye en la descarga de herramientas de administración y bloqueo de cuenta (ALTools.exe).

Para buscar bloqueos de cuenta en los registros de eventos, siga estos pasos:

1. Inicie EventCombMT.

2. En el menú Opciones , haga clic en Establecer directorio de salida, seleccione una carpeta existente o haga clic en Nueva carpeta para crear una nueva carpeta en la que guardar la salida y, a continuación, haga clic en Aceptar.

   Nota:

   Si no especifica un directorio de salida, la ubicación predeterminada es C:\Temp.

3. En el menú Búsquedas , seleccione Búsquedas integradas y, a continuación, haga clic en Bloqueos de cuenta.

   Todos los controladores de dominio del dominio aparecen en el cuadro Seleccionar para buscar o haga clic con el botón derecho en Agregar . Además, en el cuadro Identificadores de evento, verá que se agregan los identificadores de evento 529, 644, 675, 676 y 681.

4. En el cuadro Identificadores de evento, escriba un espacio y, a continuación, escriba 12294 después del último número de evento.

5. En el menú Opciones , seleccione Establecer intervalo de fechas.

6. En el cuadro Desde , elija la fecha y hora de inicio.

7. En el cuadro Para , elija la fecha y hora de finalización y, a continuación, haga clic en Aceptar.

8. Haga clic en Buscar.

9. Para buscar eventos de bloqueo de cuenta en otros equipos (controladores que no son de dominio), haga clic con el botón derecho en el cuadro Seleccionar para buscar o haga clic con el botón derecho en Agregar y, a continuación, haga clic en Quitar servidores seleccionados de la lista. Para agregar equipos para buscar, haga clic con el botón derecho en el cuadro Seleccionar para buscar o haga clic con el botón derecho en Agregar y, a continuación, haga clic en una de las opciones. Por ejemplo, para agregar equipos de uno en uno, haga clic en Agregar servidor único. Haga clic en el servidor o servidores en los que desea buscar y, a continuación, haga clic en Buscar.

Cuando se complete la consulta, puede ver los resultados de la búsqueda en el directorio de salida que especificó en el paso 2. También puede importar los archivos en Microsoft Excel. O bien, si hay un archivo de salida muy grande, puede importar la información en una base de datos SQL Server y usar consultas para evaluar la información.

Para obtener más información sobre la utilidad EventCombMT, consulte los archivos de Ayuda que se incluyen con la herramienta.