EventCombMT - Gestion de vos LOGS
Par Romain Tiennot le mercredi 25 janvier 2012, 10:52 - Serveur - Lien permanent
J'ai découvert une petite mine d'information niveau système, il s'agit du blog "Monbloginfo" géré par Arnaud MAUBAN. Il m'a permis de découvrir un outil nomme "EventCombMT" de microsoft téléchargable sur le leur site.
Cet outil comporte deux logiciels :
- EventCombMT
- LockoutStatus
EventCombMT récupère l'ensemble de vos domaines sur votre réseau et vous permet de rechercher des logs sur chacun d'eux. L'avantage est qu'il créé un rapport après avoir récupéré les informations souhaité sur X serveurs.
L’outil permet de rechercher des logs par catégorie, par type et avec une plage horaire (à la seconde prêt).
Ensuite, vous pouvez préciser quel Event ID vous intéresse ou une plage d'ID.
Une simple pression sur le bouton Search et quelques seconde plus tard un fichier ".TXT" exploitable avec Excel vous ressort le résultat de votre recherche.
L'option que j'utilise beaucoup se trouve dans le volet "Searches" > "Account Lockouts". Elle renseigne automatiquement les champs qui vont bien avec les bon Event IDs. Sauf que les IDs affiché sont ceux des journaux d'évènement 2003. Il ne faut pas oublier, si vous avez de contrôleur de domaine sur Windows server 2008/2008 R2, les logs ne sont pas les même. Vous pouvez les consulter sur le site de Microsoft(2003/2008-2008R2)
Pour information, le verrouillage d'un compte sous Windows 2003, l'ID event est le numéro 539 tandis que sous Windows 2008/2008 R2, il s'agit du 4740.
Ensuite, il y a "LockoutStatus" qui permet de faire une recherche sur un utilisateur. On peut voir si le compte utilisateur est verrouillé, le nombre de mauvais mot de passe saisie, la date du dernier mauvais mot de passe...
Ensuite, on peut effectuer un certain nombre d’opération sur le compte comme le déverrouiller, ou le gérer.
Un outil que recommande pour les admins système.
A bientôt,
Romain