EVTX parser — visor de registros de Windows en el navegador
Suelta un registro de eventos .evtx de Windows. El análisis se ejecuta en tu navegador mediante WebAssembly — no se sube nada.
Guías destacadas
- Event ID 4624 explicado: logon exitoso de Windows y referencia LogonTypeQué contiene realmente un registro 4624, por qué el campo LogonType importa más que el evento en sí, y cómo leerlos a escala.
- Event ID 4688 explicado: auditoría de creación de procesos en Windows para DFIR4688 es el registro de creación de procesos del SO base, siempre que la auditoría de línea de comandos esté activa. Esto es lo que contiene, en qué se diferencia de Sysmon 1 y los patrones de triaje que se ganan su sitio.
- Event ID 4769 explicado: tickets de servicio Kerberos y kerberoasting4769 es el registro del DC de cada solicitud de ticket de servicio. Léelo a través del tipo de cifrado y detectarás kerberoasting. Léelo con 4768 y detectarás pass-the-ticket.
- Formato de archivo EVTX explicado: chunks, plantillas e internos de BinXMLCómo se dispone un archivo .evtx a nivel de byte: cabecera de archivo, chunks de 64 KB, la tabla de plantillas y el flujo de registros BinXML que la referencia.
Un visor de EVTX en línea y gratuito que se ejecuta en tu navegador
EVTX parser es un visor de EVTX en línea y un analizador de registros de eventos de Windows. Abre un archivo .evtx — Security.evtx, System.evtx, Application.evtx, los canales de Sysmon o PowerShell — y lee cada registro sin Event Viewer, sin instalar nada y sin un host Windows.
El análisis se ejecuta íntegramente en el lado del cliente mediante un analizador Rust compilado a WebAssembly, por lo que tus registros nunca salen del navegador. Filtra por Event ID, proveedor, canal u hora, inspecciona el XML sin procesar de los eventos y exporta los resultados a CSV, JSON o XML con un par de clics. Ahora puedes abrir varios archivos .evtx a la vez y triarlos en una vista combinada.
Sigue leyendo:Convertir EVTX a XML, JSON o CSVAbrir Security.evtxAbrir System.evtxReferencia de Event ID de WindowsHerramientas EVTX comparadas
Preguntas sobre el registro de eventos
- ¿Qué es un archivo EVTX?
- EVTX es el formato binario del registro de eventos de Windows introducido con Windows Vista. Cada .evtx es una secuencia de bloques de 64 KB; cada bloque contiene una tabla de plantillas XML y un flujo de registros que las referencian. El análisis reconstruye el XML completo de cada evento.
- ¿Dónde se encuentran los .evtx en Windows?
- Los registros activos están en C:\Windows\System32\winevt\Logs. Los tres principales en forense son Security.evtx (inicios de sesión, privilegios), System.evtx (controladores, servicios) y Application.evtx (errores de aplicación). Los canales Sysmon y PowerShell suelen ser los más valiosos en respuesta a incidentes.
- ¿Esta herramienta sube mi .evtx a algún sitio?
- No. El análisis se hace en un Web Worker con un parser EVTX en Rust compilado a WebAssembly. El archivo se lee en memoria del navegador y nunca se transmite. Desconecta la red si quieres comprobarlo.
- ¿Qué significa la columna Nivel?
- Los niveles EVTX son numéricos: 1 Crítico, 2 Error, 3 Advertencia, 4 Información, 5 Detallado. Microsoft asigna algunos IDs habituales (p. ej. Security 4625 = autenticación fallida a nivel Información) — la severidad por sí sola no basta para priorizar.
- ¿Puede manejar archivos .evtx muy grandes?
- El análisis corre en un Web Worker. La memoria escala con el tamaño; varios cientos de MB son cómodos en navegadores modernos. Para colecciones mayores, exporta con evtx_dump y recarga por tramos.