L'altra risposta copre il ragionamento alla base di questo - per i sistemi moderni, mantenendo in gran parte sopportabili i tempi di caricamento all'interno della GUI del Visualizzatore eventi. Anche copiare il registro corrente in una posizione di cui viene eseguito il backup, quindi cancellarlo, va bene.
Per analizzare file di registro di grandi dimensioni che finiscono comunque per essere generati, si verificano due buone opzioni:
1) Analizzare il registro più velocemente di quanto l'attuale GUI possa gestire o 2) Dividere il registro in file separati.
Sono sicuro che ci sono alcune utility facilmente disponibili là fuori per 2), quindi mi concentrerò su 1).
Innanzitutto, Powershell ha un cmdlet eccellente per questa funzionalità chiamata "get-winevent". Le prestazioni più veloci che ho visto coinvolgono l'utilizzo di tabelle hash. Ecco un esempio che ottiene tutti gli eventi nel registro di sicurezza relativi a un utente specifico dall'ultimo giorno:
$timeframe = (get-date) - (new-timespan -day 1)
$userevt = Get-WinEvent -ComputerName <specify> -FilterHashTable @{LogName='Security'; Data='<enter username here>'; StartTime=$timeframe}
$ userevt ora è una raccolta di eventi. A seconda del numero di corrispondenze, è possibile reindirizzarlo all'elenco dei formati per leggere facilmente un piccolo numero di eventi. Per un numero medio, fai lo stesso ma reindirizza l'output su un file:
$userevt | format-list > <outputfile>.txt
Per un numero elevato, inizia a filtrare (supponiamo che tu voglia il computer chiamante per un evento di blocco sull'utente che abbiamo acquisito sopra):
$userevt | %{if ($_.message -match "Caller Computer .*") {$matches[0]}}
Questo mostrerà un risultato a riga singola per ogni evento di blocco. I processi sopra indicati richiedono generalmente 1-4 minuti per un log da 4 GB su 2008 R2.
In secondo luogo, specialmente per qualsiasi macchina del 2003 che potresti dover gestire, puoi fare clic con il tasto destro su un particolare file di registro nel riquadro di sinistra nel Visualizzatore eventi e selezionare "Salva file di registro come".
Se si esegue il Visualizzatore eventi sul computer locale, è possibile salvare un file .evt che può essere analizzato da get-winevent.
In alternativa, è possibile salvare un file di testo o CSV (trovo CSV più semplice) che può essere analizzato da utility della riga di comando appropriate come grep o findstr o alcuni programmi come notepad ++.