Monitoreo del Desempeño del Procesador de Evidencia

A través de los años, los investigadores digitales utilizando EnCase se han familiarizado íntimamente con el reporte de estados de EnCase para EnScrypts y, en años recientes, con Evidence Processor (Procesador de Evidencia). A través de los años, el reporte de progreso en EnCase se ha visto más o menos, así:




Si alguna vez ha copiado un número considerable de archivos en Windows, usted sabe cómo una cantidad mínima de información, puede, en su mejor momento, mínimamente útil y en su peor momento, frustrarle hasta el punto de ser engañosa:






Puede que hayas hecho cualquiera de estas preguntas mientras mirabas la barra de estado:

¿Qué está siendo ejecutado?
   
Si la tarea está tomando más de lo esperado, ¿dónde se está demorando?   

¿Qué puedo hacer para acelerar el proceso?


Hemos escuchado y preguntado estas dudas una multitud de veces a través de los años. En la Versión 7.07 de EnCase, hemos decidido hacer algo al respecto.

Mientras el Procesador  de Evidencia está corriendo, haz clic en View>Performance:


La nueva pestaña de Performance está iniciada. Lo primero que va a percibir es que hay dos mitades en esta pestaña, superior e inferior.



La mitad superior de la pestaña describe el estado actual del procesamiento a través de un caso entero.


Esta pestaña te provee de visibilidad de las tareas detalladas que Evidence Processor ejecuta. Ejecutando recuentos y conteos completos muestra cuántos ítems (i.e. work) queda en total para un dispositivo específico. Esta vista sólo funciona cuando el archivo de la evidencia actual está siendo procesado. Por ejemplo, si usted está procesando 5 archivos de evidencia, las estadísticas serán relevantes sólo al dispositivo que está siendo procesado.

La mitad inferior de la pestaña ilustra tareas específicas que están siendo ejecutadas. El número de filas indica el # de hilos concurrentes que está usando Evidence Processor. En este ejemplo tenemos 14 hilos de trabajadores.



Una descripción de lo que está sucediendo exactamente y el estado de la tarea en ejecución es mostrada.
Todas estas estadísticas fueron actualizadas en una aproximación a tiempo real, aproximadamente una vez por segundo.

Mediante esta vista, esperamos que ahora puedan responder de mejor manera:

P: ¿Qué está siendo ejecutado?

R: Están identificados, en tiempo casi real, las tareas y procesos corriendo.

P: Si el procesamiento está demorando más de lo esperado, ¿dónde está ocupando su tiempo?

R: Échale un vistazo a “Elapsed Time” de cualquiera de las tareas agregadas. Si una sola tarea tiene un cuello de botella, échale un vistazo a “Elapsed Time” para ver qué actividad está actualmente  siendo ejecutada.

En la siguiente función destacada, estaremos hablando acerca de la tercera pregunta:

P: ¿Qué puedo hacer para acelerar el proceso?

- Ken Mizota, Gerente de Producto de Soluciones Forenses
Traducido del original en ingles, Evidence Processor Performance Monitoring - Part 1


RELACIONADOS

Los Básicos De Forense: En La Papelera De Reciclaje Se Encuentra Evidencia

Los Básicos De Forense: La Tabla Maestra De Archivos ($MFT)

Los Básicos De Forense: La Importancia Del Analisis De Firmas

Unirse a Nuestro Grupo de LinkedIn en Español Sobre EnCase
 

No hay comentarios :

Publicar un comentario