EVTX parser — visor de registros de Windows en el navegador
Suelta un registro de eventos .evtx de Windows. El análisis se ejecuta en tu navegador mediante WebAssembly — no se sube nada.
Guías destacadas
- Event ID 4624 de Windows: decodificar cada inicio de sesiónQué contiene realmente un registro 4624, por qué el campo LogonType importa más que el propio evento, y cómo leerlos a escala.
- Event ID 4688 explicado: auditoría de creación de procesos en Windows para DFIR4688 es el registro de creación de procesos del SO base — con auditoría de línea de comandos activa. Qué contiene, cómo se diferencia de Sysmon 1 y los patrones de triage útiles.
- Event ID 4769 explicado: service tickets Kerberos y kerberoasting4769 es el registro del DC de cada solicitud de service ticket. Léelo a través del tipo de cifrado y detectas kerberoasting; léelo con 4768 y detectas pass-the-ticket.
- Formato de archivo EVTX explicado: chunks, plantillas e internos de BinXMLCómo se distribuye un archivo .evtx a nivel de byte — cabecera de archivo, chunks de 64 KB, la tabla de plantillas y el stream de registros BinXML que la referencia.
Preguntas sobre el registro de eventos
- ¿Qué es un archivo EVTX?
- EVTX es el formato binario del registro de eventos de Windows introducido con Windows Vista. Cada .evtx es una secuencia de bloques de 64 KB; cada bloque contiene una tabla de plantillas XML y un flujo de registros que las referencian. El análisis reconstruye el XML completo de cada evento.
- ¿Dónde se encuentran los .evtx en Windows?
- Los registros activos están en C:\Windows\System32\winevt\Logs. Los tres principales en forense son Security.evtx (inicios de sesión, privilegios), System.evtx (controladores, servicios) y Application.evtx (errores de aplicación). Los canales Sysmon y PowerShell suelen ser los más valiosos en respuesta a incidentes.
- ¿Esta herramienta sube mi .evtx a algún sitio?
- No. El análisis se hace en un Web Worker con un parser EVTX en Rust compilado a WebAssembly. El archivo se lee en memoria del navegador y nunca se transmite. Desconecta la red si quieres comprobarlo.
- ¿Qué significa la columna Nivel?
- Los niveles EVTX son numéricos: 1 Crítico, 2 Error, 3 Advertencia, 4 Información, 5 Detallado. Microsoft asigna algunos IDs habituales (p. ej. Security 4625 = autenticación fallida a nivel Información) — la severidad por sí sola no basta para priorizar.
- ¿Puede manejar archivos .evtx muy grandes?
- El análisis corre en un Web Worker. La memoria escala con el tamaño; varios cientos de MB son cómodos en navegadores modernos. Para colecciones mayores, exporta con evtx_dump y recarga por tramos.