Câu trả lời khác bao gồm lý do đằng sau điều này - đối với các hệ thống hiện đại, chủ yếu là giữ thời gian tải trong GUI trình xem sự kiện có thể chịu được. Sao chép nhật ký hiện tại vào một vị trí được sao lưu, sau đó xóa nó, cũng tốt.
Để phân tích cú pháp các tệp nhật ký lớn cuối cùng vẫn được tạo, có hai tùy chọn tốt xảy ra:
1) Phân tích nhật ký nhanh hơn GUI hiện tại có thể quản lý hoặc 2) Chia nhật ký thành các tệp riêng biệt.
Tôi chắc chắn có một số tiện ích có sẵn dễ dàng cho 2), vì vậy tôi sẽ tập trung vào 1).
Đầu tiên, Powershell có một lệnh ghép ngắn tuyệt vời cho chức năng này được gọi là 'get-winevent'. Hiệu suất nhanh nhất tôi thấy liên quan đến việc sử dụng bảng băm. Dưới đây là một ví dụ nhận được tất cả các sự kiện trong nhật ký bảo mật liên quan đến một người dùng cụ thể từ ngày cuối cùng:
$timeframe = (get-date) - (new-timespan -day 1)
$userevt = Get-WinEvent -ComputerName <specify> -FilterHashTable @{LogName='Security'; Data='<enter username here>'; StartTime=$timeframe}
$ userevt hiện là một tập hợp các sự kiện. Tùy thuộc vào số lượng trận đấu, bạn có thể chuyển nó qua danh sách định dạng để dễ dàng đọc một số lượng nhỏ sự kiện. Đối với một số trung bình, làm tương tự nhưng chuyển hướng đầu ra thành một tệp:
$userevt | format-list > <outputfile>.txt
Đối với một số lượng lớn, hãy bắt đầu lọc (giả sử bạn muốn máy tính của người gọi cho một sự kiện khóa trên người dùng mà chúng tôi có được ở trên):
$userevt | %{if ($_.message -match "Caller Computer .*") {$matches[0]}}
Điều này sẽ hiển thị kết quả một dòng cho mỗi sự kiện khóa. Các quy trình trên thường mất 1-4 phút cho nhật ký 4GB trên 2008 R2.
Thứ hai, đặc biệt đối với bất kỳ máy 2003 nào bạn có thể phải quản lý, bạn có thể nhấp chuột phải vào một tệp nhật ký cụ thể trong khung bên trái trong trình xem sự kiện và chọn 'lưu tệp nhật ký dưới dạng'.
Nếu bạn đang chạy trình xem sự kiện trên máy cục bộ, bạn có thể lưu tệp .evt có thể được phân tích cú pháp bằng get-winevent.
Ngoài ra, bạn có thể lưu tệp văn bản hoặc tệp CSV (tôi thấy CSV dễ dàng hơn) có thể được phân tích cú pháp bởi các tiện ích dòng lệnh thích hợp như grep hoặc findstr hoặc một số chương trình nhất định như notepad ++.