System.evtx — das Windows-Systemereignisprotokoll
System.evtx zeichnet auf, was Betriebssystem, Treiber und Dienste auf einem Windows-Host tun. Hier zeigen sich dienstbasierte Persistenz, Treiberladevorgänge und unerwartete Neustarts, und Sie können es hier im Browser öffnen — ohne Event Viewer oder einen Windows-Rechner.
Was ist System.evtx?
System.evtx liegt in C:\Windows\System32\winevt\Logs neben Security.evtx und Application.evtx. Es enthält den System-Kanal: Dienstinstallationen und Zustandsänderungen (vom Service Control Manager), Treiberereignisse, Start/Stopp des Event-Log-Dienstes sowie Zeit- oder Stromübergänge.
Für DFIR ist es der Begleiter von Security.evtx: Ein zur Persistenz installierter (7045) und gestarteter (7036) Schaddienst wird hier aufgezeichnet, und das Start/Stopp-Paar des Event-Log-Dienstes (6005/6006) plus 104 helfen Ihnen, Lücken zu erkennen, in denen die Protokollierung aus oder gelöscht war.
Wichtige Event IDs von System.evtx
So öffnen Sie eine System.evtx-Datei
Legen Sie System.evtx auf den Parser oben ab (oder laden Sie es zusammen mit Security.evtx für eine kombinierte Zeitleiste). Das Parsen läuft lokal über einen Rust/WebAssembly-Parser — das Protokoll verlässt nie Ihren Browser. Filtern Sie nach Event ID, untersuchen Sie das rohe XML jedes Datensatzes und exportieren Sie nach CSV, JSON oder XML.