如何使用 EventCombMT 公用程式來搜尋帳戶鎖定的事件記錄

本文說明如何使用 EventCombMT 實用程式 ( # A0) 來搜尋多部電腦的事件記錄檔,以進行帳戶鎖定。

原始產品版本:   Windows Server 2012 R2
原始 KB 編號:   824209

詳細資訊

EventCombMT 是一種多執行緒工具,可讓您在多個不同電腦的事件記錄檔中搜尋特定事件,全部來自一個集中位置。 您可以設定 EventCombMT,以非常詳細的方式搜尋事件記錄。

以下是您可以指定的一些搜尋參數:

  • 個別的事件 IDs
  • 多重事件 IDs
  • 事件範圍 IDs
  • 事件來源
  • 特定事件文字
  • 傳回掃描的分鐘、小時數或天數

某些特定搜尋類別是內建的,例如帳戶鎖定。 「帳戶鎖定搜尋」已預先設定為包括事件 IDs 529、644、675、676和681。 此外,您還可以新增事件識別碼12294,以搜尋對系統管理員帳戶的潛在攻擊。

若要下載 EventCombMT 公用程式,請下載 帳戶鎖定和管理工具。 EventCombMT 公用程式包含在「帳戶鎖定」和「管理工具」下載 ( # A0) 中。

若要在事件記錄檔中搜尋帳戶鎖定,請遵循下列步驟:

  1. 啟動 EventCombMT。

  2. 在 [ 選項 ] 功能表上,按一下 [ 設定輸出目錄],選取現有的資料夾,或按一下 [ 新增資料夾 ] 以建立用來儲存輸出的新資料夾,然後按一下 [確定]

    注意

    如果您未指定輸出目錄,則預設位置是 C: \ Temp。

  3. 在 [ 搜尋 ] 功能表上,指向 [ 內建搜尋],然後按一下 [ 帳戶鎖定]。

    網域的所有網域控制站隨即出現在 [ 選取以進行搜尋] 對話方塊中,按一下滑鼠右鍵,再按一下 [新增 ]。 此外,在 [ 事件 IDs ] 方塊中,您會看到 [!注意] 事件已新增 IDs 529、644、675、676和681。

  4. 在 [ 事件 IDs ] 方塊中,輸入空格,然後在最後一個事件編號之後輸入 12294

  5. 在 [ 選項 ] 功能表中,選取 [ 設定日期範圍]。

  6. 在 [ 寄件者 ] 方塊中,選擇您的開始日期和時間。

  7. 在 [ ] 方塊中,選擇您結束的日期和時間,然後按一下 [確定]

  8. 按一下 [搜尋]。

  9. 若要在其他電腦上搜尋帳戶封鎖事件) 的 (非網域控制站,請以滑鼠右鍵按一下 [ 選取進行搜尋] (按一下滑鼠右鍵 ),然後按一下 [ 從清單移除選取的伺服器]。 若要將電腦新增至搜尋,請以滑鼠右鍵按一下 [ 選取以進行搜尋 ],然後按滑鼠右鍵按一下 [新增],然後按一下其中一個選項。 例如,若要一次新增一部電腦,請按一下 [ 新增單一伺服器]。 按一下您要搜尋的伺服器或伺服器,然後按一下 [ 搜尋]。

當查詢完成時,您可以在您在步驟2中指定的輸出目錄中查看搜尋結果。 您也可以將檔匯入 Microsoft Excel。 或者,如果有非常大的輸出檔案,您可以將資訊匯入至 SQL Server 資料庫,並使用查詢來評估資訊。

如需 EventCombMT 公用程式的詳細資訊,請參閱工具隨附的說明檔。