仕事で扱っているNetApp社のFilerで、EVT ファイルを標準のログファイルとしている。
わざわざWindows互換のEVT形式で出力して保存しているのだ。
しかし、このEVTファイル、全くと言っていいほどつぶしがきかない。

Filerへのアクセスが増えて、一日あたり5GBを超えるログが出力されることになっていたのだが、これを処理する方法が、全くと言っていいほどないのだ。
Windowsのイベントビューアでは、5〜600MBくらいが上限で、読み込もうとしたらハングする。
LOGPARSERというコマンドベースのマイクロソフト社純正のプログラムで処理しようとしても、エラーになってしまうのだ。

純正ソフトを使って処理できないって、どういうことなんだろうか。

マイクロソフトのサポートによれば、300MB強が公式のログの物理サイズの最大値らしい。

せめて、レコードの切れ目が分かれば、そこでファイルを分割してしまうのだが、さて、どうしよう。

eventquery.vbs というコマンドも用意されているようなので、こちらを使って抜き出し処理を試してみようかな、と思う。
簡単な vbs なのだろうから、むしろ大量データでも淡々と処理できるかも、と期待をしておく。