恢复归档事件

处理过的事件日志数据如果超过要求的时间，可以被归档并从工作数据库中清除。这可以通过 ADAudit Plus 中的归档事件选项来完成。归档审计数据有助于保持工作数据库的最佳大小，这有助于更快速的报表以及满足取证和合规要求。

这个 '恢复归档事件' 可用于将 ADAudit Plus 归档事件数据和备份的 Evt / Evtx 文件（也可以安排导入）恢复到工作数据库。

为什么需要恢复归档事件？

恢复归档事件是解决需要审核信息（报表）的选项，针对通过 ADAudit Plus 处理的较旧事件或从工作数据库中清除的备份 Evt / Evtx 文件。

较旧的数据是如何归档的？

当事件日志数据从数据库中清除时，它们会被压缩并存储在“归档文件夹”中。“归档文件夹”在“归档事件”下配置，默认存储在“<安装目录>\archive”文件夹中。归档文件夹包含多个压缩文件，每个压缩文件包含特定类别内一定时间范围的事件信息。

恢复归档事件

要恢复一定范围内的归档数据：

• 点击“恢复归档事件”。
• 所有归档事件按类别和范围显示，并提供加载/卸载数据的选项。
• 点击 图标加载数据。
• 以上可以为所需恢复的事件数据选择一个或所有日期范围。

一旦从归档文件夹恢复事件数据到工作数据库。在 '报表' 标签 下选择 '自定义期间' 以查看相应的报表并检查审核报表。

重新归档恢复的归档事件：

所有恢复的归档事件都有一个卸载图标与之对应。要重新归档恢复的归档事件：

• 点击 图标。
• 这将立即卸载已加载的数据库。（即，恢复的数据将被重新归档。）

数据库中恢复的归档数据超过 2 天（48 小时）将自动重新归档。