Log2timeline ではパースの対象を定義ファイルなどで指定する事により絞り込む事ができますが、前提としては保全されたデータまたは現物データがある状態で、そこから必要なデータのみパースするという考え方かと思います。

この場合、ホワイトリストやキーワードにより更に絞り込む事が可能ですので、例えば実行履歴だけに関連するアーティファクトだけを指定したList-Filesを合わせて使うことでノイズを抑えたタイムラインを構成できそうです。

とはいえ、そもそも入力段階である程度絞り込まれた、要はタイムラインに生成に必要なデータセットだけに限定されたデータになっていれば、タイムラインのパース後のノイズや解析時の負担を減らすことができないだろうか？という気がします。

例えば、プロセス実行に関連したタイムラインを閲覧したい場合に、Log2timelineでパースしたいと考えているデータだけに限定したデータセットを先に製造して、それを後工程に流して処理するという流れです。

先にデータセットを作成する時間が無駄に発生するのではないか？という懸念もあるので、よく考える必要がありそうです。そもそもList-Filesでパース対象を指定しているのだから、先に限定する必要はないのではないか？という部分も思い浮かびます。

しかし、往々にて入力を制限していないと、念のためといって無駄なデータも投入して結果としてタイムラインが膨張、人間が見やすい状態から乖離して必要なデータを発見できないという状況が出てしまい、後工程で無駄が多くなってしまう印象があります。

また、多数の機器についてタイムラインだけをまず生成して、どれから着手するかを考えるまたは方針を決定する場合にも、限定した範囲のデータセットのみでタイムラインを生成するのは検討してみる必要があるのではないでしょうか。

プルする仕組みがどこまで有用かは実験が必要ですが、プッシュ型だと後工程が単に膨張するだけですので気を付けたい部分ですね。