1.
在 EventCombMT 實用程序中，確保域框中自動檢測到正確的域。假如想搜索另一域中的事件日志，應在“Domain”（域）框中手動鍵入這個新的域名。

2.
要將計算機添加到搜索列表中，右鍵單擊“Select To Search/Right Click to Add”（選擇進行搜索/右鍵單擊進行添加）下面的框。彈出菜單如下圖所示：


圖 1
使用 EventCombMT 對話框設置添加未自動檢測到搜索列表中的計算機

可以使用下列選項：

• “Get DCs in Domain”（獲取域中的 DC），將當前域的所有域控制器添加到該列表。

• “Add Single Server”（添加一個服務器），答應以名稱的形式將服務器或工作站添加到該列表。

• “Add all GCs in this domain”（添加此域中的所有 GC），答應您添加配置為全局編錄服務器的選定域中的所有域控制器。

• “Get All Servers”（獲取所有服務器），添加使用瀏覽器服務在該域中找到的所有服務器。這些服務器不包括所有域控制器。

• “Get Servers from File”（從文件獲取服務器），答應導入一個列出所有服務器的文件，并將它們包括在搜索范圍中。在該文本文件中，每個服務器都應輸入到一個單獨的行中。


3.
一旦將服務器添加到列表中，必須選擇針對哪些服務器執(zhí)行搜索。選擇之后，該服務器在該列表中將突出顯示�？梢栽诎醋� Ctrl 鍵的同時點擊，以選擇多個服務器。



指定要搜索的事件日志和事件類型

一旦選擇了要包括在事件日志搜索中的服務器，可以通過選擇包括哪些事件日志和事件類型類縮小搜索范圍了。

在 EventCombMT 實用程序中，可從下列事件日志中選擇用于搜索的日志：

• System（系統(tǒng)）

• Application（應用程序）

• Security（安全）

• FRS（文件復制服務日志）

• DNS（DNS 服務器日志）

• AD（目錄服務日志）


您還可以選擇在搜索中包括下列事件類型：

• Error（錯誤），此事件在應用程序日志和系統(tǒng)日志中記錄，還會出現(xiàn)在 FRS、DNS 和目錄服務日志中。

• Informational（信息），此事件在應用程序日志和系統(tǒng)日志中記錄，還會出現(xiàn)在 FRS、DNS 和目錄服務日志中。

• Warning（警告），此事件在應用程序日志和系統(tǒng)日志中記錄，還會出現(xiàn)在 FRS、DNS 和目錄服務日志中。

• Success Audit（成功審核），此事件會發(fā)生在安全日志中，假如應用程序已將成功審核注冊到應用程序日志中，此事件還會發(fā)生在應用程序日志中。例如，Active Directory 遷移工具 (ADMT) 會將成功審核事件記錄到應用程序日志中。

• Failure Audit（失敗審核），此事件會發(fā)生在安全日志中，假如應用程序已將失敗審核注冊到應用程序日志中，此事件還會發(fā)生在應用程序日志中。例如，ADMT 會將失敗審核記錄到應用程序日志中。

• Success（成功），此事件很少發(fā)生，出現(xiàn)在應用程序日志或系統(tǒng)日志中，也會出現(xiàn)在 FRS、DNS 和目錄服務日志中。在事件查看器中，成功事件顯示為信息性事件類型。


注重：假如了解事件日志具體包括哪個事件 ID，以及事件 ID 的事件類型，請始終將該信息包括在搜索條件中，因為這可縮短搜索時間。

保存搜索

EventCombMT 答應您保存搜索，并在日后重新加載這些搜索。假如常用 EventCombMT 在 IIS 服務器中搜索一組事件，在域控制器中搜索另一組事件，則保存搜索非常有用。

搜索條件保存在注冊表的下列內(nèi)容中：

HKLM\Software\Microsoft\EventCombMT ，您可輕松編輯。

搜索結果文件

搜索結果在默認情況下保存在 C:\Temp 文件夾中。這些結果包括一個名為 EventCombMT.txt 的摘要文件。事件日志搜索中包括的每個計算機都會生成一個名為 ComputerName-EventLogName_LOG.txt 的單獨文本文件。這些單獨文本文件包含從符合搜索條件的事件日志中抽取的所有事件。

查看更多 動易Cms教程  動易Cms模板