Иногда в буднях администраторов наступают дни, когда служба безопасности требует выдать какую-либо информацию со служебных журналов аудита Windows, а их размеры превышают мыслимые рабочие размеры для работы в самой системе.
Для таких случаев (как в нашем примере), выгрузка evt файла имела размер ~ 10 ГБ, что содержала более 16 миллионов записей. Работа с таким журналом в Windows натыкается на постоянную нехватку памяти и зависания системы. Как альтернативу можно рассмотреть приложение - Event Log Explorer (eventlogxp.com), от компании FSPro Labs.
Один из несомненных плюсов приложения - возможность использования жесткого диска (!) вместо оперативной памяти для хранения временных данных. Что настраиваться на вкладке Preferences - Log Loading Options. Там же можно настроить предварительную фильтрацию данных по Event ID/Event Type и прочим.
Доступны несколько типов импорта файлов, а так же работа со встроенными журналами системы. Ну, а обилие фильтров и их гибкость порадует любителей создавать заковыристые запросы. Ну а триал со всеми функциями на 30 дней порадует всех, и даст время на покупку ПО компанией.
Валерий Кулик
Комментариев нет:
Отправить комментарий