EVTX parser — Windows-Ereignisprotokoll-Viewer im Browser

Ziehe ein Windows .evtx-Ereignisprotokoll hierher. Die Analyse läuft komplett im Browser über WebAssembly — es wird nichts hochgeladen.

.evtx hier ablegen oder klicken zum AuswählenDie Dateien bleiben auf deinem Gerät. Reine Client-Analyse.

Ausgewählte Guides

Windows-Event-ID 4624: jede Anmeldung entschlüsseltWas ein 4624-Datensatz wirklich enthält, warum das Feld LogonType wichtiger ist als das Ereignis selbst, und wie man sie skaliert liest.
Event-ID 4688 erklärt: Windows-Prozesserstellung für DFIR auditieren4688 ist der Base-OS-Prozesserstellungs-Datensatz — vorausgesetzt, Command-Line-Auditing ist an. Hier steht, was drin ist, wie es sich von Sysmon 1 unterscheidet und welche Triage-Muster sich lohnen.
Event-ID 4769 erklärt: Kerberos-Service-Tickets und Kerberoasting4769 ist die DC-Aufzeichnung jeder Service-Ticket-Anfrage. Lies sie über den Verschlüsselungstyp und du erkennst Kerberoasting; lies sie mit 4768 und du erkennst Pass-the-Ticket.
EVTX-Dateiformat erklärt: Chunks, Templates und BinXML-InternaWie eine .evtx-Datei auf Byte-Ebene aufgebaut ist — File-Header, 64-KB-Chunks, die Template-Tabelle und der BinXML-Datensatzstream, der darauf verweist.

FAQ zum Ereignisprotokoll

Was ist eine EVTX-Datei?: EVTX ist das binäre Windows-Ereignisprotokollformat, das mit Windows Vista eingeführt wurde. Jede .evtx-Datei besteht aus 64 KB-Blöcken; jeder Block enthält eine XML-Vorlagen-Tabelle und einen Strom von Datensätzen, die darauf verweisen. Die Analyse rekonstruiert das vollständige XML jedes Ereignisses.
Wo liegen .evtx-Dateien unter Windows?: Aktive Protokolle liegen unter C:\Windows\System32\winevt\Logs. Die forensisch wichtigsten sind Security.evtx (Anmeldungen, Privilegien), System.evtx (Treiber, Dienste) und Application.evtx (Anwendungsfehler). Sysmon- und PowerShell-Kanäle sind bei Incident Response besonders wertvoll.
Wird meine .evtx irgendwohin hochgeladen?: Nein. Die Analyse läuft in einem Web Worker mit einem in Rust geschriebenen EVTX-Parser, der zu WebAssembly kompiliert wurde. Die Datei wird im Browser-Speicher gelesen und nie übertragen. Trenne das Netzwerk, wenn du es überprüfen möchtest.
Was bedeutet die Spalte Stufe?: EVTX-Stufen sind numerisch: 1 Kritisch, 2 Fehler, 3 Warnung, 4 Information, 5 Ausführlich. Microsoft setzt einige bekannte IDs (z. B. Security 4625 = fehlgeschlagene Anmeldung auf Information) — die Stufe allein ist kein Triage-Signal.
Kann das Tool sehr große .evtx-Dateien verarbeiten?: Die Analyse läuft in einem Web Worker. Der Speicher skaliert mit der Dateigröße; einige hundert MB sind in modernen Browsern komfortabel. Für größere Sammlungen exportiere zuerst mit evtx_dump und lade in Abschnitten neu.