Інша відповідь стосується міркувань цього - для сучасних систем, здебільшого зберігаючи час завантаження в інтерфейсі GUI переглядача подій, дещо переноситься. Копіювання поточного журналу в місце, яке резервне копіювання, та очищення його, також добре.
Для розбору великих файлів журналів, які все одно генеруються, є два хороших варіанти:
1) Проаналізуйте журнал швидше, ніж поточний GUI може керувати, або 2) Розбити журнал на окремі файли.
Я впевнений, що там є якісь доступні утиліти на 2), тому я зупинюсь на 1).
По-перше, у Powershell є чудовий командлет для цієї функції, який називається "get-winevent". Найшвидший показник, який я бачив, передбачає використання хеш-таблиць. Ось приклад, який отримує всі події в журналі безпеки, що стосуються конкретного користувача за останній день:
$timeframe = (get-date) - (new-timespan -day 1)
$userevt = Get-WinEvent -ComputerName <specify> -FilterHashTable @{LogName='Security'; Data='<enter username here>'; StartTime=$timeframe}
$ userevt зараз - це сукупність подій. Залежно від кількості збігів, ви можете передати його у список формату, щоб легко прочитати невелику кількість подій. Для середнього числа зробіть те ж саме, але перенаправляйте вихід у файл:
$userevt | format-list > <outputfile>.txt
Для великої кількості починайте фільтрувати (скажіть, що ви хочете, щоб користувач, який телефонує, для події блокування від користувача, якого ми придбали вище):
$userevt | %{if ($_.message -match "Caller Computer .*") {$matches[0]}}
Це покаже однорядковий результат для кожної події блокування. Вищеописані процеси, як правило, займають 1-4 хвилини для 4 Гб журналу 2008 року на R2.
По-друге, особливо для будь-яких машин 2003 року, з якими вам може знадобитися керувати, ви можете переглядати події певного клацання правою кнопкою миші на лівій панелі в області перегляду подій і вибирати "зберегти файл журналу як".
Якщо ви переглядаєте переглядач подій на локальній машині, ви можете зберегти .evt файл, який можна проаналізувати get-winevent.
Крім того, ви можете зберегти текстовий або CSV-файл (мені здається, що CSV простіше), який можна проаналізувати відповідними утилітами командного рядка, такими як grep або findstr, або певними програмами, такими як блокнот ++.