Skip to content
.evtx

EVTX parser — Windows-Ereignisprotokoll-Viewer im Browser

Ziehe ein Windows .evtx-Ereignisprotokoll hierher. Die Analyse läuft komplett im Browser über WebAssembly — es wird nichts hochgeladen.

Ein kostenloser Online-EVTX-Viewer, der in Ihrem Browser läuft

EVTX parser ist ein Online-EVTX-Viewer und Parser für Windows-Ereignisprotokolle. Öffnen Sie eine .evtx-Datei — Security.evtx, System.evtx, Application.evtx, Sysmon- oder PowerShell-Kanäle — und lesen Sie jeden Datensatz ohne Event Viewer, ohne Installation und ohne Windows-Host.

Das Parsen läuft vollständig clientseitig über einen in WebAssembly kompilierten Rust-Parser, sodass Ihre Protokolle den Browser nie verlassen. Filtern Sie nach Event ID, Anbieter, Kanal oder Zeit, untersuchen Sie das rohe Ereignis-XML und exportieren Sie die Ergebnisse mit wenigen Klicks nach CSV, JSON oder XML. Sie können jetzt mehrere .evtx-Dateien gleichzeitig öffnen und in einer kombinierten Ansicht triagieren.

Weiterlesen:EVTX in XML, JSON oder CSV konvertierenSecurity.evtx öffnenSystem.evtx öffnenWindows-Event-ID-ReferenzEVTX-Tools im Vergleich

FAQ zum Ereignisprotokoll

Was ist eine EVTX-Datei?
EVTX ist das binäre Windows-Ereignisprotokollformat, das mit Windows Vista eingeführt wurde. Jede .evtx-Datei besteht aus 64 KB-Blöcken; jeder Block enthält eine XML-Vorlagen-Tabelle und einen Strom von Datensätzen, die darauf verweisen. Die Analyse rekonstruiert das vollständige XML jedes Ereignisses.
Wo liegen .evtx-Dateien unter Windows?
Aktive Protokolle liegen unter C:\Windows\System32\winevt\Logs. Die forensisch wichtigsten sind Security.evtx (Anmeldungen, Privilegien), System.evtx (Treiber, Dienste) und Application.evtx (Anwendungsfehler). Sysmon- und PowerShell-Kanäle sind bei Incident Response besonders wertvoll.
Wird meine .evtx irgendwohin hochgeladen?
Nein. Die Analyse läuft in einem Web Worker mit einem in Rust geschriebenen EVTX-Parser, der zu WebAssembly kompiliert wurde. Die Datei wird im Browser-Speicher gelesen und nie übertragen. Trenne das Netzwerk, wenn du es überprüfen möchtest.
Was bedeutet die Spalte Stufe?
EVTX-Stufen sind numerisch: 1 Kritisch, 2 Fehler, 3 Warnung, 4 Information, 5 Ausführlich. Microsoft setzt einige bekannte IDs (z. B. Security 4625 = fehlgeschlagene Anmeldung auf Information) — die Stufe allein ist kein Triage-Signal.
Kann das Tool sehr große .evtx-Dateien verarbeiten?
Die Analyse läuft in einem Web Worker. Der Speicher skaliert mit der Dateigröße; einige hundert MB sind in modernen Browsern komfortabel. Für größere Sammlungen exportiere zuerst mit evtx_dump und lade in Abschnitten neu.