1.
在 EventCombMT 實(shí)用程序中，確保域框中自動(dòng)檢測(cè)到正確的域。假如想搜索另一域中的事件日志，應(yīng)在“Domain”（域）框中手動(dòng)鍵入這個(gè)新的域名。

2.
要將計(jì)算機(jī)添加到搜索列表中，右鍵單擊“Select To Search/Right Click to Add”（選擇進(jìn)行搜索/右鍵單擊進(jìn)行添加）下面的框。彈出菜單如下圖所示：


圖 1
使用 EventCombMT 對(duì)話框設(shè)置添加未自動(dòng)檢測(cè)到搜索列表中的計(jì)算機(jī)

可以使用下列選項(xiàng)：

• “Get DCs in Domain”（獲取域中的 DC），將當(dāng)前域的所有域控制器添加到該列表。

• “Add Single Server”（添加一個(gè)服務(wù)器），答應(yīng)以名稱的形式將服務(wù)器或工作站添加到該列表。

• “Add all GCs in this domain”（添加此域中的所有 GC），答應(yīng)您添加配置為全局編錄服務(wù)器的選定域中的所有域控制器。

• “Get All Servers”（獲取所有服務(wù)器），添加使用瀏覽器服務(wù)在該域中找到的所有服務(wù)器。這些服務(wù)器不包括所有域控制器。

• “Get Servers from File”（從文件獲取服務(wù)器），答應(yīng)導(dǎo)入一個(gè)列出所有服務(wù)器的文件，并將它們包括在搜索范圍中。在該文本文件中，每個(gè)服務(wù)器都應(yīng)輸入到一個(gè)單獨(dú)的行中。


3.
一旦將服務(wù)器添加到列表中，必須選擇針對(duì)哪些服務(wù)器執(zhí)行搜索。選擇之后，該服務(wù)器在該列表中將突出顯示�？梢栽诎醋� Ctrl 鍵的同時(shí)點(diǎn)擊，以選擇多個(gè)服務(wù)器。



指定要搜索的事件日志和事件類型

一旦選擇了要包括在事件日志搜索中的服務(wù)器，可以通過(guò)選擇包括哪些事件日志和事件類型類縮小搜索范圍了。

在 EventCombMT 實(shí)用程序中，可從下列事件日志中選擇用于搜索的日志：

• System（系統(tǒng)）

• Application（應(yīng)用程序）

• Security（安全）

• FRS（文件復(fù)制服務(wù)日志）

• DNS（DNS 服務(wù)器日志）

• AD（目錄服務(wù)日志）


您還可以選擇在搜索中包括下列事件類型：

• Error（錯(cuò)誤），此事件在應(yīng)用程序日志和系統(tǒng)日志中記錄，還會(huì)出現(xiàn)在 FRS、DNS 和目錄服務(wù)日志中。

• Informational（信息），此事件在應(yīng)用程序日志和系統(tǒng)日志中記錄，還會(huì)出現(xiàn)在 FRS、DNS 和目錄服務(wù)日志中。

• Warning（警告），此事件在應(yīng)用程序日志和系統(tǒng)日志中記錄，還會(huì)出現(xiàn)在 FRS、DNS 和目錄服務(wù)日志中。

• Success Audit（成功審核），此事件會(huì)發(fā)生在安全日志中，假如應(yīng)用程序已將成功審核注冊(cè)到應(yīng)用程序日志中，此事件還會(huì)發(fā)生在應(yīng)用程序日志中。例如，Active Directory 遷移工具 (ADMT) 會(huì)將成功審核事件記錄到應(yīng)用程序日志中。

• Failure Audit（失敗審核），此事件會(huì)發(fā)生在安全日志中，假如應(yīng)用程序已將失敗審核注冊(cè)到應(yīng)用程序日志中，此事件還會(huì)發(fā)生在應(yīng)用程序日志中。例如，ADMT 會(huì)將失敗審核記錄到應(yīng)用程序日志中。

• Success（成功），此事件很少發(fā)生，出現(xiàn)在應(yīng)用程序日志或系統(tǒng)日志中，也會(huì)出現(xiàn)在 FRS、DNS 和目錄服務(wù)日志中。在事件查看器中，成功事件顯示為信息性事件類型。


注重：假如了解事件日志具體包括哪個(gè)事件 ID，以及事件 ID 的事件類型，請(qǐng)始終將該信息包括在搜索條件中，因?yàn)檫@可縮短搜索時(shí)間。

保存搜索

EventCombMT 答應(yīng)您保存搜索，并在日后重新加載這些搜索。假如常用 EventCombMT 在 IIS 服務(wù)器中搜索一組事件，在域控制器中搜索另一組事件，則保存搜索非常有用。

搜索條件保存在注冊(cè)表的下列內(nèi)容中：

HKLM\Software\Microsoft\EventCombMT ，您可輕松編輯。

搜索結(jié)果文件

搜索結(jié)果在默認(rèn)情況下保存在 C:\Temp 文件夾中。這些結(jié)果包括一個(gè)名為 EventCombMT.txt 的摘要文件。事件日志搜索中包括的每個(gè)計(jì)算機(jī)都會(huì)生成一個(gè)名為 ComputerName-EventLogName_LOG.txt 的單獨(dú)文本文件。這些單獨(dú)文本文件包含從符合搜索條件的事件日志中抽取的所有事件。

查看更多 動(dòng)易Cms教程  動(dòng)易Cms模板