Skip to content
.evtx

EVTX parser — visor de registros de Windows en el navegador

Suelta un registro de eventos .evtx de Windows. El análisis se ejecuta en tu navegador mediante WebAssembly — no se sube nada.

Un visor de EVTX en línea y gratuito que se ejecuta en tu navegador

EVTX parser es un visor de EVTX en línea y un analizador de registros de eventos de Windows. Abre un archivo .evtx — Security.evtx, System.evtx, Application.evtx, los canales de Sysmon o PowerShell — y lee cada registro sin Event Viewer, sin instalar nada y sin un host Windows.

El análisis se ejecuta íntegramente en el lado del cliente mediante un analizador Rust compilado a WebAssembly, por lo que tus registros nunca salen del navegador. Filtra por Event ID, proveedor, canal u hora, inspecciona el XML sin procesar de los eventos y exporta los resultados a CSV, JSON o XML con un par de clics. Ahora puedes abrir varios archivos .evtx a la vez y triarlos en una vista combinada.

Sigue leyendo:Convertir EVTX a XML, JSON o CSVAbrir Security.evtxAbrir System.evtxReferencia de Event ID de WindowsHerramientas EVTX comparadas

Preguntas sobre el registro de eventos

¿Qué es un archivo EVTX?
EVTX es el formato binario del registro de eventos de Windows introducido con Windows Vista. Cada .evtx es una secuencia de bloques de 64 KB; cada bloque contiene una tabla de plantillas XML y un flujo de registros que las referencian. El análisis reconstruye el XML completo de cada evento.
¿Dónde se encuentran los .evtx en Windows?
Los registros activos están en C:\Windows\System32\winevt\Logs. Los tres principales en forense son Security.evtx (inicios de sesión, privilegios), System.evtx (controladores, servicios) y Application.evtx (errores de aplicación). Los canales Sysmon y PowerShell suelen ser los más valiosos en respuesta a incidentes.
¿Esta herramienta sube mi .evtx a algún sitio?
No. El análisis se hace en un Web Worker con un parser EVTX en Rust compilado a WebAssembly. El archivo se lee en memoria del navegador y nunca se transmite. Desconecta la red si quieres comprobarlo.
¿Qué significa la columna Nivel?
Los niveles EVTX son numéricos: 1 Crítico, 2 Error, 3 Advertencia, 4 Información, 5 Detallado. Microsoft asigna algunos IDs habituales (p. ej. Security 4625 = autenticación fallida a nivel Información) — la severidad por sí sola no basta para priorizar.
¿Puede manejar archivos .evtx muy grandes?
El análisis corre en un Web Worker. La memoria escala con el tamaño; varios cientos de MB son cómodos en navegadores modernos. Para colecciones mayores, exporta con evtx_dump y recarga por tramos.