EVTX parser — Windows-Ereignisprotokoll-Viewer im Browser
Ziehe ein Windows .evtx-Ereignisprotokoll hierher. Die Analyse läuft komplett im Browser über WebAssembly — es wird nichts hochgeladen.
Ausgewählte Guides
- Event ID 4624 erklärt: erfolgreicher Windows-Logon und LogonType-ReferenzWas ein 4624-Record tatsächlich enthält, warum das LogonType-Feld wichtiger ist als das Event selbst, und wie man sie im Maßstab liest.
- Event ID 4688 erklärt: Windows-Prozesserstellungs-Auditing für DFIR4688 ist der Prozesserstellungs-Datensatz des Basis-OS, vorausgesetzt Command-Line-Auditing ist an. Hier ist, was drinsteht, wie er sich von Sysmon 1 unterscheidet und welche Triage-Muster sich lohnen.
- Event ID 4769 erklärt: Kerberos-Service-Tickets und Kerberoasting4769 ist der DC-Datensatz jeder Service-Ticket-Anfrage. Lies ihn über den Verschlüsselungstyp und du erkennst Kerberoasting. Lies ihn mit 4768 und du erkennst Pass-the-Ticket.
- EVTX-Dateiformat erklärt: Chunks, Templates und BinXML-InternaWie eine .evtx-Datei auf Byte-Ebene aufgebaut ist: Datei-Header, 64-KB-Chunks, die Template-Tabelle und der BinXML-Datensatzstrom, der darauf verweist.
Ein kostenloser Online-EVTX-Viewer, der in Ihrem Browser läuft
EVTX parser ist ein Online-EVTX-Viewer und Parser für Windows-Ereignisprotokolle. Öffnen Sie eine .evtx-Datei — Security.evtx, System.evtx, Application.evtx, Sysmon- oder PowerShell-Kanäle — und lesen Sie jeden Datensatz ohne Event Viewer, ohne Installation und ohne Windows-Host.
Das Parsen läuft vollständig clientseitig über einen in WebAssembly kompilierten Rust-Parser, sodass Ihre Protokolle den Browser nie verlassen. Filtern Sie nach Event ID, Anbieter, Kanal oder Zeit, untersuchen Sie das rohe Ereignis-XML und exportieren Sie die Ergebnisse mit wenigen Klicks nach CSV, JSON oder XML. Sie können jetzt mehrere .evtx-Dateien gleichzeitig öffnen und in einer kombinierten Ansicht triagieren.
Weiterlesen:EVTX in XML, JSON oder CSV konvertierenSecurity.evtx öffnenSystem.evtx öffnenWindows-Event-ID-ReferenzEVTX-Tools im Vergleich
FAQ zum Ereignisprotokoll
- Was ist eine EVTX-Datei?
- EVTX ist das binäre Windows-Ereignisprotokollformat, das mit Windows Vista eingeführt wurde. Jede .evtx-Datei besteht aus 64 KB-Blöcken; jeder Block enthält eine XML-Vorlagen-Tabelle und einen Strom von Datensätzen, die darauf verweisen. Die Analyse rekonstruiert das vollständige XML jedes Ereignisses.
- Wo liegen .evtx-Dateien unter Windows?
- Aktive Protokolle liegen unter C:\Windows\System32\winevt\Logs. Die forensisch wichtigsten sind Security.evtx (Anmeldungen, Privilegien), System.evtx (Treiber, Dienste) und Application.evtx (Anwendungsfehler). Sysmon- und PowerShell-Kanäle sind bei Incident Response besonders wertvoll.
- Wird meine .evtx irgendwohin hochgeladen?
- Nein. Die Analyse läuft in einem Web Worker mit einem in Rust geschriebenen EVTX-Parser, der zu WebAssembly kompiliert wurde. Die Datei wird im Browser-Speicher gelesen und nie übertragen. Trenne das Netzwerk, wenn du es überprüfen möchtest.
- Was bedeutet die Spalte Stufe?
- EVTX-Stufen sind numerisch: 1 Kritisch, 2 Fehler, 3 Warnung, 4 Information, 5 Ausführlich. Microsoft setzt einige bekannte IDs (z. B. Security 4625 = fehlgeschlagene Anmeldung auf Information) — die Stufe allein ist kein Triage-Signal.
- Kann das Tool sehr große .evtx-Dateien verarbeiten?
- Die Analyse läuft in einem Web Worker. Der Speicher skaliert mit der Dateigröße; einige hundert MB sind in modernen Browsern komfortabel. Für größere Sammlungen exportiere zuerst mit evtx_dump und lade in Abschnitten neu.