Monitoreio do Desempenho do Processador de Evidências - Parte 1

Ao decorrer dos anos, os investigadores digitais que usam EnCase têm ficado familiarizados intimamente com o reporte de estado para EnScript, e em anos recentes, o reporte de estado do Processador de Evidências. O reporte do progresso em EnCase têm sido assim:

Se alguma vez você copiou um grande número de arquivos em Windows, você sabe como uma quantidade mínima de informação pode ser no melhor caso, minimamente útil, e no pior, frustrantemente enganoso:

Você pode ter se perguntado qualquer uma destas questões enquanto olhava para a barra de estado:

•    O que é que está sendo executado?
•    Se a tarefa está tomando mais tempo do esperado, em que se está gastando o tempo?
•    O que posso fazer para acelerar o processo?

Também temos escutado e feito estas perguntas uma multidão de vezes ao passar dos anos. Com EnCase versão 7.07 temos decido fazer algo ao respeito.

Enquanto esteja correndo o Processador de Evidências, clique em Ver → Desempenho (View → Performance):

A nova guia de Desempenho (Performance) será aberta. A primeira coisa que você notará é que a guia esta dividida em duas metades, superior e inferior

A metade superior da guia descreve o estado atual do processamento a través de todo o caso

Esta guia fornece uma visibilidade granular das tarefas que o Processador de Evidências está executando. Mostra a conta total de processos que estão correndo e de processos que já tem sido completos. Também mostra quantos itens (ou tarefas) restam ainda para um dispositivo em particular. Esta vista somente opera sob o arquivo de evidência atualmente sendo processado. Por exemplo, se você está processando cinco arquivos de evidência, a estadística somente se referirá ao dispositivo que esta sendo processado agora.

A metade inferior da guia ilustra especificamente tarefas executadas atualmente. O número de filas indica o número de fios (threads) que estão correndo concorrentemente. Em este exemplo, temos 14 fios trabalhando.

Uma descrição de exatamente o que está acontecendo e o estado da tarefa que está correndo atualmente são mostrados.

Todas estas estadísticas são atualizadas praticamente em tempo real, mudando aproximadamente uma vez por segundo.

Mediante esta vista, esperamos que você possa responder melhor:

Pergunta: O que é que está sendo executado?

Resposta: Tarefas que estão correndo atualmente e o seu progresso são identificados, praticamente em tempo real.

Pergunta: Se a tarefa está tomando mais tempo do esperado, em que se está gastando o tempo?

Resposta: Olhe o “Tempo Decorrido” (Elapsed Time) das tarefas agregadas. Se o engarrafamento é causado por uma só tarefa, olhe o tempo decorrido para ver que atividade está sendo executada atualmente.

Em nosso seguinte artigo de Funcionalidades Destacadas, falaremos sobre a terceira questão:

O que posso fazer para acelerar o processo?

- Ken Mizota, Gerente de Produtos de Soluções Forenses
Original em inglês: Evidence Processor Performance Monitoring - Part 1

RELACIONADOS

O Reto Forense Em Discos De Estado Sólido (SSD) 

A Evidência Digital na América Latina

Os Básicos de Forense: A Tabela Mestra de Arquivos ($MFT)

Grupo de LinkedIn: Usuários do EnCase - Português