L'autre réponse couvre le raisonnement derrière cela - pour les systèmes modernes, gardant la plupart du temps les temps de chargement dans l'interface graphique de l'observateur d'événements quelque peu supportable. Copier le journal actuel vers un emplacement sauvegardé, puis l'effacer, est également une bonne chose.
Pour analyser de gros fichiers journaux qui finissent par être générés de toute façon, deux bonnes options se produisent:
1) Analysez le journal plus rapidement que l'interface graphique actuelle ne peut gérer ou 2) Divisez le journal en fichiers séparés.
Je suis sûr qu'il existe des utilitaires facilement disponibles pour 2), je vais donc me concentrer sur 1).
Premièrement, Powershell a une excellente applet de commande pour cette fonctionnalité appelée «get-winevent». La performance la plus rapide que j'ai vue consiste à utiliser des tables de hachage. Voici un exemple qui obtient tous les événements du journal de sécurité relatifs à un utilisateur spécifique du dernier jour:
$timeframe = (get-date) - (new-timespan -day 1)
$userevt = Get-WinEvent -ComputerName <specify> -FilterHashTable @{LogName='Security'; Data='<enter username here>'; StartTime=$timeframe}
$ userevt est maintenant une collection d'événements. Selon le nombre de correspondances, vous pouvez le diriger vers format-list pour lire facilement un petit nombre d'événements. Pour un nombre moyen, faites de même mais redirigez la sortie vers un fichier:
$userevt | format-list > <outputfile>.txt
Pour un grand nombre, commencez le filtrage (disons que vous voulez que l'ordinateur appelant pour un événement de verrouillage sur l'utilisateur que nous avons acquis ci-dessus):
$userevt | %{if ($_.message -match "Caller Computer .*") {$matches[0]}}
Cela affichera un résultat sur une seule ligne pour chaque événement de verrouillage. Les processus ci-dessus prennent généralement 1 à 4 minutes pour un journal de 4 Go sur 2008 R2.
Deuxièmement, en particulier pour toutes les machines 2003 que vous pourriez avoir à gérer, vous pouvez cliquer avec le bouton droit sur un fichier journal particulier dans le volet gauche de l'Observateur d'événements et sélectionner «enregistrer le fichier journal sous».
Si vous exécutez l'Observateur d'événements sur la machine locale, vous pouvez enregistrer un fichier .evt qui peut être analysé par get-winevent.
Alternativement, vous pouvez enregistrer un fichier texte ou CSV (je trouve CSV plus facile) qui peut être analysé par les utilitaires de ligne de commande appropriés tels que grep ou findstr, ou certains programmes comme notepad ++.