使用 EventCombMT 的示例

為了顯示如何使用 EventCombMT，我們將顯示如何對該工具進行配置，從而檢測域控制器的重新啟動和帳戶鎖定。

• 使用 EventCombMT 搜索域控制器的重新啟動

1.
在 EventCombMT 工具中，確保該域配置了正確的域名。

2.
在該域名下面的“Select to Search/Right Click to Add”（選擇進行搜索/右鍵單擊進行添加）框中，右鍵單擊該框，然后單擊“Get DCs in Domain”（獲取域中的 DC）。

注重：搜索類似帳戶登錄和帳戶治理這樣的事件時，請確保搜索所有域控制器。因為 Windows 2000 的帳戶治理使用多主機模型，所以可在域中的任何域控制器上添加、修改或刪除帳戶。同樣，身份也可由域中的任意域控制器來驗證。正因為如此，您不能準(zhǔn)確確定在哪里發(fā)生了特定的更新或身份驗證嘗試。

3.
右鍵單擊“Select to Search/Right Click to Add”（選擇進行搜索/右鍵單擊進行添加）框，然后單擊“Select All Servers in List”（選擇列表中的所有服務(wù)器）。

4.
在該工具搜索部分的“Choose Log Files”（選擇日志文件）中，僅選擇“System”（系統(tǒng)）日志。

5.
在該工具的“Event Types”（事件類型）部分，選擇“Error and Informational”（錯誤和信息性）。

6.
在“Event IDs”（事件 ID）框中，鍵入下列事件 ID：1001 6005 6006 6008。

7.
單擊“Search”（搜索）按鈕前，確保搜索條件按照下圖定義，然后單擊“Search”（搜索）。


圖 2
在 Event Comb MT 對話框中定義搜索條件



完成搜索時，可在日志目錄中查看結(jié)果，該目錄應(yīng)在搜索完成時自動打開。

• 復(fù)查日志項

1.
從“File”（文件）菜單中，選擇“Open Log Directory”（打開日志目錄）。

2.
在 C:\Temp 文件夾中，雙擊一個域控制器的輸出文件，查看 EventCombMT 工具記錄的特定事件。您應(yīng)看到類似下面的內(nèi)容輸出：

1001,INFORMATIONAL,Save Dump,Wed Nov 28 05:45:50 2001,,（1001，信息，保存轉(zhuǎn)儲，2001 年 11 月 28 日星期三 05:45:50）
The computer has rebooted from a bugcheck.（計算機已根據(jù)檢測錯誤重新啟動。）The bugcheck was:（檢測錯誤是：）
0x000000d1 (0x00000004, 0x00000002, 0x00000000, 0x84c983dc).
A dump was saved in: C:\WINDOWS\MEMORY.DMP.（轉(zhuǎn)儲保存在下列位置：C:\WINDOWS\MEMORY.DMP。）
6005,INFORMATIONAL,EventLog,Wed Nov 28 05:45:46 2001,,（6005，信息，事件日志，2001 年 11 月 28 日星期三 05:45:46）
The Event log service was started.（事件日志服務(wù)已啟動。）
6008,ERROR,EventLog,Wed Nov 28 05:45:46 2001,,（6008，錯誤，事件日志，2001 年 11 月 28 日星期三 05:45:46）
The previous system shutdown at 5:33:47 AM on 11/28/2001
was unexpected.（上一次系統(tǒng)在 2001 年 11 月 28 日星期三上午 5:33:47 意外關(guān)閉）。6005,INFORMATIONAL,EventLog,Tue Nov
27 14:10:53 2001,,The Event log service was started.（6005，信息，事件日志，2001 年 11 月 27 日星期二14:10:53，事件日志服務(wù)已啟動。）
6006,INFORMATIONAL,EventLog,Tue Nov 27 14:09:26 2001,,（6006，信息，事件日志，2001 年 11 月 27 日星期二 14:09:26）
The Event log service was stopped.（事件日志服務(wù)已停止。）6005,INFORMATIONAL,
EventLog,Tue Nov 27 10:11:37 2001,,The Event log service
was started.（6005，信息，事件日志，2001 年 11 月 27 日星期二 10:11:37，事件日志服務(wù)已啟動。）




6006 事件表明一個有關(guān)閉域控制器權(quán)限的用戶啟動了一次計劃關(guān)機。6005 事件表明事件日志服務(wù)已啟動。此事件發(fā)生在啟動時。

查看更多 動易Cms教程  動易Cms模板