System.evtx — el registro de eventos del sistema de Windows
System.evtx registra lo que hacen el sistema operativo, los controladores y los servicios en un host Windows. Es donde aparecen la persistencia basada en servicios, las cargas de controladores y los reinicios inesperados, y puedes abrirlo aquí en tu navegador sin Event Viewer ni una máquina Windows.
¿Qué es System.evtx?
System.evtx reside en C:\Windows\System32\winevt\Logs junto a Security.evtx y Application.evtx. Contiene el canal System: instalación de servicios y cambios de estado (del Service Control Manager), eventos de controladores, inicio/parada del servicio Event Log, y transiciones de hora o energía.
Para el DFIR es el complemento de Security.evtx: un servicio malicioso instalado para persistencia (7045) y arrancado (7036) queda registrado aquí, y el par de inicio/parada del servicio Event Log (6005/6006) más el 104 te ayudan a detectar huecos donde el registro estaba desactivado o se borró.
Event ID clave de System.evtx
Cómo abrir un archivo System.evtx
Suelta System.evtx en el analizador de arriba (o cárgalo junto con Security.evtx para una línea de tiempo combinada). El análisis se ejecuta localmente mediante un analizador Rust/WebAssembly — el log nunca sale de tu navegador. Filtra por Event ID, inspecciona el XML sin procesar de cada registro y exporta a CSV, JSON o XML.