EventComboMT是一个可以搜索多台不同计算机日志中的账户锁定事件的实用工具，所有的搜索任务都是在一个中心计算机上完成。要下载这个工具，请链接：http://www.microsoft.com/downloads/details.aspx?FamilyID=7AF2E69C-91F3-4E63-8629-B999ADDE0B9E
以下参数是可以指定的一些搜索参数：

•	单个事件 ID
•	多个事件 ID
•	事件 ID 范围
•	事件源
•	特定事件文本
•	向后扫描的分钟数、小时数或天数

某些特定的搜索类别是内置的，如帐户锁定。“帐户锁定”搜索被预配置为包含事件 ID 529、644、675、676 和 681。此外，还可以添加事件 ID 12294 来搜索对“管理员”帐户的潜在攻击。
 
要搜索事件日志以查找帐户锁定，请按照下列步骤操作：

1.	启动 EventCombMT。
2.	在“选项”菜单上，单击“设置输出目录”，选择现有文件夹，或单击“新建文件夹”以创建新的文件夹来保存输出，然后单击“确定”。   注意：如果您没有指定输出目录，则使用默认位置 C:\Temp。
3.	在“搜索”菜单上，指向“内置搜索”，然后单击“帐户锁定”。   该域的所有域控制器都将显示在“选中以进行搜索/右键单击以进行添加”框中。同时，在“事件 ID”框中，将显示已添加的事件 ID 529、644、675、676 和 681。
4.	在“事件 ID”框中键入一个空格，然后在最后一个事件号码后键入 12294。
5.	在“选项”菜单上，选择“设置日期范围”。
6.	在“从”框中，选择起始日期和时间。
7.	在“到”框中，选择结束日期和时间，然后单击“确定”。
8.	单击“搜索”。
9.	要搜索其他计算机（非域控制器）以查找帐户锁定事件，请右键单击“选中以进行搜索/右键单击以进行添加”框，然后单击“从列表中删除所选服务器”。要添加搜索的计算机，请右键单击“选中以进行搜索/右键单击以进行添加”框，然后单击其中一个选项。例如，要一次添加一台计算机，请单击“添加单台服务器”。单击要搜索的一台或多台服务器，然后单击“搜索”。

查询完成后，可以在步骤 2 中指定的输出目录中查看搜索结果。也可以将这些文件导入 Microsoft Excel。或者，如果输出文件非常大，您也可以将该信息导入到 Microsoft SQL Server 数据库中并使用查询来计算该信息。
 

本文出自 “www.exlab.cn” 博客，谢绝转载！