Security.evtx — el registro de eventos de seguridad de Windows
Security.evtx es el canal que registra la autenticación, el uso de privilegios y la gestión de cuentas en un host Windows. Es el log más importante en casi toda investigación de respuesta a incidentes, y puedes abrirlo aquí en tu navegador sin Event Viewer ni una máquina Windows.
¿Qué es Security.evtx?
Security.evtx reside en C:\Windows\System32\winevt\Logs junto a System.evtx y Application.evtx. Contiene el canal Security: eventos de inicio y cierre de sesión, asignaciones de privilegios, creación de procesos (con la auditoría de línea de comandos habilitada), cambios de cuentas y grupos, y la actividad de tickets Kerberos emitida por el Security Reference Monitor local.
Como captura quién se autenticó, desde dónde y qué hizo, Security.evtx es donde el movimiento lateral, la escalada de privilegios y la persistencia suelen dejar su primer rastro. También es un objetivo antiforense de primer orden — el evento 1102 registra que el propio log fue borrado.
Event ID clave de Security.evtx
Cómo abrir un archivo Security.evtx
Suelta Security.evtx en el analizador de arriba (o cárgalo junto con System.evtx y el canal Sysmon para un triaje entre logs). El análisis se ejecuta localmente mediante un analizador Rust/WebAssembly — el log nunca sale de tu navegador. Filtra por Event ID, inspecciona el XML sin procesar de cada registro y exporta a CSV, JSON o XML.