अन्य उत्तर इसके पीछे तर्क को शामिल करते हैं - आधुनिक प्रणालियों के लिए, ज्यादातर घटना दर्शक जीयूआई के भीतर लोड समय को कुछ हद तक ध्यान में रखते हुए। वर्तमान लॉग को उस स्थान पर कॉपी करना जो बैकअप हो जाता है, फिर उसे साफ़ करना भी अच्छा है।
बड़े लॉग फ़ाइलों को पार्स करने के लिए जो किसी भी तरह से उत्पन्न होते हैं, दो अच्छे विकल्प होते हैं:
1) वर्तमान GUI की तुलना में लॉग को तेजी से पार्स कर सकते हैं या 2) लॉग को अलग-अलग फाइलों में विभाजित करें।
मुझे यकीन है कि वहाँ 2 के लिए कुछ आसानी से उपलब्ध उपयोगिताओं हैं), इसलिए मैं 1 पर ध्यान केंद्रित करूँगा)।
सबसे पहले, पॉवर्सशेल में इस कार्यक्षमता के लिए एक उत्कृष्ट cmdlet है जिसे 'गेट-वाइनवेंट' कहा जाता है। सबसे तेज प्रदर्शन जो मैंने देखा है उसमें हैश टेबलों का उपयोग करना शामिल है। यहां एक उदाहरण दिया गया है जो अंतिम दिन से एक विशिष्ट उपयोगकर्ता से संबंधित सुरक्षा लॉग में सभी घटनाओं को प्राप्त करता है:
$timeframe = (get-date) - (new-timespan -day 1)
$userevt = Get-WinEvent -ComputerName <specify> -FilterHashTable @{LogName='Security'; Data='<enter username here>'; StartTime=$timeframe}
$ userevt अब घटनाओं का एक संग्रह है। मैचों की संख्या के आधार पर, आप इसे आसानी से घटनाओं की एक छोटी संख्या को पढ़ने के लिए प्रारूप-सूची के माध्यम से पाइप कर सकते हैं। एक मध्यम संख्या के लिए, एक ही करें, लेकिन आउटपुट को फ़ाइल में पुनर्निर्देशित करें:
$userevt | format-list > <outputfile>.txt
बड़ी संख्या के लिए, फ़िल्टर करना शुरू करें (आप जिस उपयोगकर्ता को हमने उपार्जित किया है, उसके लॉकआउट ईवेंट के लिए कॉलर कंप्यूटर चाहते हैं):
$userevt | %{if ($_.message -match "Caller Computer .*") {$matches[0]}}
यह प्रत्येक लॉकआउट इवेंट के लिए एकल-पंक्ति परिणाम दिखाएगा। उपरोक्त प्रक्रियाएं आमतौर पर 2008 R2 पर 4GB लॉग के लिए 1-4 मिनट का समय लेती हैं।
दूसरे, विशेष रूप से 2003 की किसी भी मशीन के लिए जिसे आप प्रबंधित कर सकते हैं, आप इवेंट व्यूअर में बाएँ फलक में किसी विशेष लॉग फ़ाइल पर राइट-क्लिक कर सकते हैं, और 'लॉग फ़ाइल को सहेजें' चुनें।
यदि आप स्थानीय मशीन पर ईवेंट व्यूअर चला रहे हैं, तो आप एक .evt फ़ाइल को सेव कर सकते हैं, जिसे गेट-वाइनवेंट द्वारा पार्स किया जा सकता है।
वैकल्पिक रूप से, आप एक पाठ या CSV फ़ाइल (मुझे CSV आसान लगता है) को बचा सकते हैं जिसे उपयुक्त कमांड-लाइन उपयोगिताओं जैसे कि grep या findstr, या कुछ प्रोग्राम जैसे नोटपैड ++ द्वारा पार्स किया जा सकता है।