Het hulpprogramma EventCombMT gebruiken om gebeurtenislogboeken te zoeken naar accountvergrendelingen

In dit artikel wordt beschreven hoe u het hulpprogramma EventCombMT (EventCombmt.exe) gebruikt om in de gebeurtenislogboeken van meerdere computers te zoeken naar accountvergrendelingen.

Van toepassing op: Windows Server 2012 R2
Origineel KB-nummer: 824209

Meer informatie

EventCombMT is een hulpprogramma met meerdere threads dat u kunt gebruiken om de gebeurtenislogboeken van verschillende computers te doorzoeken op specifieke gebeurtenissen, allemaal vanaf één centrale locatie. U kunt EventCombMT configureren om de gebeurtenislogboeken op een zeer gedetailleerde manier te doorzoeken.

Hier volgen enkele van de zoekparameters die u kunt opgeven:

• Afzonderlijke gebeurtenis-id's
• Meerdere gebeurtenis-id's
• Een reeks gebeurtenis-id's
• Een gebeurtenisbron
• Specifieke gebeurtenistekst
• Hoeveel minuten, uren of dagen terug om te scannen

Sommige specifieke zoekcategorieën zijn ingebouwd, zoals Accountvergrendelingen. De zoekopdracht Accountvergrendelingen is vooraf geconfigureerd om gebeurtenis-id's 529, 644, 675, 676 en 681 op te nemen. Daarnaast kunt u gebeurtenis-id 12294 toevoegen om te zoeken naar mogelijke aanvallen op het beheerdersaccount.

Download Hulpprogramma's voor accountvergrendeling en beheer om het hulpprogramma EventCombMT te downloaden. Het hulpprogramma EventCombMT is opgenomen in de download van de hulpprogramma's voor accountvergrendeling en beheer (ALTools.exe).

Voer de volgende stappen uit om in de gebeurtenislogboeken te zoeken naar accountvergrendelingen:

1. Start EventCombMT.

2. Klik in het menu Opties op Uitvoermap instellen, selecteer een bestaande map of klik op Nieuwe map om een nieuwe map te maken waarin u de uitvoer wilt opslaan en klik vervolgens op OK.

   Opmerking

   Als u geen uitvoermap opgeeft, is de standaardlocatie C:\Temp.

3. Wijs in het menu Zoekopdrachtende optie Ingebouwde zoekopdrachten aan en klik vervolgens op Accountvergrendelingen.

   Alle domeincontrollers voor het domein worden weergegeven in het vak Zoeken selecteren/Met de rechtermuisknop klikken om toe te voegen . In het vak Gebeurtenis-id's ziet u ook dat gebeurtenis-id's 529, 644, 675, 676 en 681 zijn toegevoegd.

4. Typ in het vak Gebeurtenis-id's een spatie en typ 12294 na het laatste gebeurtenisnummer.

5. Selecteer in het menu Optiesde optie Datumbereik instellen.

6. Kies in het vak Van uw begindatum en -tijd.

7. Kies in het vak Aan uw einddatum en -tijd en klik vervolgens op OK.

8. Klik op Zoeken.

9. Als u op andere computers (niet-domeincontrollers) wilt zoeken naar gebeurtenissen voor accountvergrendeling, klikt u met de rechtermuisknop op het vak Selecteren om te zoeken/met de rechtermuisknop op toevoegen en klikt u vervolgens op Geselecteerde servers uit lijst verwijderen. Als u computers wilt toevoegen om te zoeken, klikt u met de rechtermuisknop op het vak Selecteren om te zoeken/met de rechtermuisknop klikken om toe te voegen en klikt u vervolgens op een van de opties. Als u bijvoorbeeld computers één voor één wilt toevoegen, klikt u op Enkele server toevoegen. Klik op de server of servers die u wilt doorzoeken en klik vervolgens op Zoeken.

Wanneer de query is voltooid, kunt u de zoekresultaten weergeven in de uitvoermap die u in stap 2 hebt opgegeven. U kunt de bestanden ook importeren in Microsoft Excel. Als er een zeer groot uitvoerbestand is, kunt u de informatie importeren in een SQL Server database en query's gebruiken om de informatie te evalueren.

Zie de Help-bestanden die deel uitmaken van het hulpprogramma voor meer informatie over het hulpprogramma EventCombMT.