Account Lockout and Management Tools - EventCombMT

Active Directory 환경에서 계정 잠김 현상이 빈번하게 발생 하는 경우가 있습니다. 이 문제를 해결하기 위해서는 계정 잠김 현상의 원인 부터 찾아내야 합니다.

원인을 찾기 위해 이벤트 로그의 보안 로그를 필터링 후 일일이 살펴 봐야 하나 이는 너무나 비효율적인 일이 아닐 수 없습니다. 이벤트 로그를 쉽게 필터링 하여 검색하기 위해 EventCombMT Tools 을 사용하는 방법에 대해 알아보겠습니다.​

목차

1. 참고 사이트

2. Account Lockout and Management Tools

 2-1. Account Lockout and Management Tools 설치

​ 2-2. 로그 저장 폴더 생성

 2-3. EventCombMT 사용하기​

1. 참고 사이트

Account Lockout Tools

http://technet.microsoft.com/en-us/library/cc738772.aspx

 

Account Lockout and Management Tools

http://www.microsoft.com/downloads/details.aspx?FamilyId=7AF2E69C-91F3-4E63-8629-B999ADDE0B9E&displaylang=en

 

EventCombMT 유틸리티를 사용하여 이벤트 로그에서 계정 잠금을 검색하는 방법

http://support.microsoft.com/kb/824209/ko

 

Account Lockout Status (LockoutStatus.exe)

http://www.microsoft.com/en-us/download/details.aspx?id=15201#Overview

 

2. Account Lockout and Management Tools

2-1. Account Lockout and Management Tools 설치

 

1. http://www.microsoft.com/downloads/details.aspx?FamilyId=7AF2E69C-91F3-4E63-8629-B999ADDE0B9E&displaylang=en 사이트 에서 다운로드 를 클릭 합니다.

 

cf) System Requirements 를 확인하면 Windows 2000, Windows NT, Windows Server 2003 입니다. 본 포스팅에서 Windows Serve 2008 R2 버전에서 테스트 해보니 정상적으로 동작 합니다.

2. 다운로드 받은 ALTools 파일 에서 우클릭 후 관리자 권한으로 실행 을 클릭 합니다.

3. ALTools 창에서, Yes 를 클릭 합니다.

4. Browse 를 클릭 합니다.

5. 폴더 찾아보기 창에서, 압축을 해재 할 폴더 클릭 후 확인 을 클릭 합니다.

6. OK 를 클릭 합니다.

7. 압축을 해재한 폴더 화면 입니다.

 

2-2. 로그 저장 폴더 생성

 

1. 폴더의 빈화면에서 우클릭 후 새로 만들기 - 폴더 를 클릭 합니다.


2. 로그 저장을 위한 폴더 가 생성된 화면 입니다.​

​​

2-3. EventCombMT 사용하기​​

 

여러가지 Tools 중에서 EventCombMT 를 사용하여 여러 컴퓨터의 이벤트 로그를 필터하여 검색 후 텍스트 파일로 추출할 수 있습니다.

 

1. eventcombMT 파일 에서 우클릭 후 관리자 권한으로 실행 을 클릭 합니다.

​​

2. EventCombMT 창에서, Searches 클릭 후 Built In Searches - Account Lockouts 을 클릭 합니다.

 

3. 다음 그림과 같이 서버, Choose Log Filtes to search 항목, Event ID 가 자동으로 입력 됩니다.

cf) Event ID 529, 644, 675, 676, 681는 Windows Server 2003 이하 버전의 Account Lockout 관련 이벤트 입니다.

본 포스팅의 OS는 Windows Server 2008 R2 이기 때문에 로그 검색 결과가 나오지 않습니다.

4. 시간 범위를 지정하기 위해, Options 클릭 후 Set Date Range 를 클릭 합니다.

5. Set Event Range 창에서, 로그 검색을 위한 시간 범위 지정 후 OK 를 클릭 합니다.

6. 로그 저장 폴더 지정을 위해, Options 클릭 후 Set Output Directory 를 클릭 합니다.

7. 폴더 찾아보기 창에서, 로그 저장 폴더 지정 후 확인 을 클릭 합니다.

8. 로그 검색을 위한 설정이 완료 되었으면, Search 를 클릭 합니다.

9. 로그 검색이 완료 되면 자동으로 로그 저장 폴더가 팝업 됩니다. 생성된 로그 파일 에서 우클릭 후 열기 를 클릭 합니다.

10. Account Lockout 로그 파일 화면 입니다.

​​

11. Windows Server 2008 R2 에 해당하는 조건으로 필터를 적용하기 위해 Searches 클릭 후 Clear Search 를 클릭 합니다.​

12. Select To Search/Right Click To Add 에서, 우클릭 후 Get DCs in Domain 을 클릭 합니다.

13. 자동 입력된 DC 를 클릭 합니다.

14. Choose Log Files to search에 Security, Failure Audit 체크 후 Event IDs 에 4625 입력 후 Search 를 클릭 합니다.

15. 로그 검색이 완료 되면 자동으로 로그 저장 폴더가 팝업 됩니다.​

 

16. EventCombMT 파일은 기존 파일이 덮어쒸여 지기가 됩니다.​

17. DC-Security_Log 파일을 보면 Event ID 4625 내용이 Text 파일로 추출 되었습니다.

+ Recent posts

티스토리 툴바