技巧二：通过命令将日志文件进行集体归档

　　日志文件在必要的时候需要进行归档。日志文件一般是采取追加的方式。也就是说，如果不采取有效的管理措施的话，日志文件的容量会无限量的增加上去。这不但会使得ForeFront服务器的存储空间快速消耗，而且文件一大，其存储的效率也会降低，从而影响到ForeFront服务器的整体性能。但是如果日志文件一大，就清空日志文件，从头再来，这也不行。因为有时候需要对系统运行的状况进行纵向的对比，以发现问题的原因。通常情况下，比较合理的做法是先对日志文件进行归档操作，然后再清空旧的日志文件。这么操作即可以保留历史纪录，又可能确保在用的日志文件容量不是很大。

　　但是ForeFront系统的日志文件有很多，如果一个个的进行归档，其工作量也比较大。为此在ForeFront系统中提供了一个命令行的工具(MpCMDRun –Getfiles)，来进行日志文件的存档工作。不过在使用这个文件的时候，需要注意两个文件。

　　一是通常情况下，其归档的只是系统的操作日志。ForeFront的日志文件根据其产生的过程，可以分为 安装日志与操作日志。一般情况下，安装日志后续不会有很大的变化(一般是安装或者升级过程中需要用到)，所以没有多大的归档必要。而操作日志则每天都可能在变化，容量也在与日俱进。所以从管理上来说，只有操作日志文件有归档的必要。系统提供的这个命令行工具，针对的也只是操作日志文件。

　　二是在归档操作日志文件的时候，其会忽略两个日志文件，分别为MPLog-daterange与MpSigstub日志文件。前者是扫描的资源、检测到的威胁和签名更新版本的日志。这个日志文件一般是由反恶意软件引擎所生成。第二个日志文件列出了反恶意软件服务的签名更新组件的活动。这两个文件通常情况下没有归档的必要。如果管理员觉得有必要归档的话，这需要手工进行归档，而不能够使用命令行工具。