Security.evtx — das Windows-Sicherheitsereignisprotokoll
Security.evtx ist der Kanal, der Authentifizierung, Rechtenutzung und Kontoverwaltung auf einem Windows-Host aufzeichnet. Es ist in fast jeder Incident-Response-Untersuchung das wichtigste Protokoll, und Sie können es hier im Browser öffnen — ohne Event Viewer oder einen Windows-Rechner.
Was ist Security.evtx?
Security.evtx liegt in C:\Windows\System32\winevt\Logs neben System.evtx und Application.evtx. Es enthält den Security-Kanal: An- und Abmeldeereignisse, Rechtezuweisungen, Prozesserstellung (bei aktivierter Befehlszeilenüberwachung), Konto- und Gruppenänderungen sowie die Kerberos-Ticket-Aktivität, die der lokale Security Reference Monitor ausgibt.
Weil es erfasst, wer sich von wo authentifiziert und was er getan hat, ist Security.evtx der Ort, an dem laterale Bewegung, Rechteausweitung und Persistenz meist ihre erste Spur hinterlassen. Es ist außerdem ein bevorzugtes Anti-Forensik-Ziel — Ereignis 1102 zeigt an, dass das Protokoll selbst gelöscht wurde.
Wichtige Event IDs von Security.evtx
So öffnen Sie eine Security.evtx-Datei
Legen Sie Security.evtx auf den Parser oben ab (oder laden Sie es zusammen mit System.evtx und dem Sysmon-Kanal für eine protokollübergreifende Triage). Das Parsen läuft lokal über einen Rust/WebAssembly-Parser — das Protokoll verlässt nie Ihren Browser. Filtern Sie nach Event ID, untersuchen Sie das rohe XML jedes Datensatzes und exportieren Sie nach CSV, JSON oder XML.