恢复归档事件

处理过的事件日志数据如果超出需求，可以归档并从工作数据库中清除。可以使用 ADAudit Plus 中的「归档事件」选项完成此操作。归档审计数据有助于保持工作数据库的最佳大小，从而加快报告速度并满足取证和合规要求。

「 恢复归档事件」 可用于将 ADAudit Plus 归档的事件数据和备份的 Evt / Evtx 文件（也可以定时导入）恢复到工作数据库中。

为什么需要恢复归档事件？

恢复归档事件选项用于满足对 ADAudit Plus 处理过的旧事件或备份的 Evt / Evtx 文件中的审计信息（报告）的需求，这些事件已被从工作数据库中清除。

旧数据是如何归档的？

当事件日志数据从数据库中清除时，它们会被压缩并存储在「归档文件夹」中。归档文件夹在「归档事件」下配置，默认存储在「<安装目录>\archive」文件夹中。归档文件夹包含多个压缩文件，每个压缩文件包含特定类别和时间范围内的事件信息。

恢复归档事件

若要恢复某一范围内的归档数据：

• 点击「恢复归档事件」。
• 所有归档事件按类别和范围显示，并提供加载/卸载数据的选项。
• 点击 图标以加载数据。
• 上述可选择一个或所有日期范围内需要恢复的事件数据。

一旦事件数据从归档文件夹恢复到工作数据库，进入 「报告」选项卡 选择 「自定义期间」 来查看对应的审计报告。

重新归档已恢复的归档事件：

所有恢复的归档事件均显示带有卸载图标。要重新归档已恢复的归档事件：

• 点击 点击图标。
• 这将立即卸载已加载的数据库。（即已恢复数据将被重新归档。）

数据库中超过2天（48小时）的恢复归档数据将自动重新归档。