Skip to content
.evtx

EVTX parser — visualiseur de journaux Windows dans le navigateur

Déposez un journal d'événements Windows .evtx. L'analyse s'exécute entièrement dans votre navigateur via WebAssembly — rien n'est téléversé.

Une visionneuse EVTX en ligne et gratuite qui s'exécute dans votre navigateur

EVTX parser est une visionneuse EVTX en ligne et un analyseur de journaux d'événements Windows. Ouvrez un fichier .evtx — Security.evtx, System.evtx, Application.evtx, les canaux Sysmon ou PowerShell — et lisez chaque enregistrement sans Event Viewer, sans rien installer et sans machine Windows.

L'analyse s'effectue entièrement côté client grâce à un analyseur Rust compilé en WebAssembly : vos journaux ne quittent jamais le navigateur. Filtrez par Event ID, fournisseur, canal ou horodatage, inspectez le XML brut des événements, et exportez les résultats en CSV, JSON ou XML en quelques clics. Vous pouvez désormais ouvrir plusieurs fichiers .evtx à la fois et les trier dans une vue unifiée.

Pour aller plus loin :Convertir un EVTX en XML, JSON ou CSVOuvrir Security.evtxOuvrir System.evtxRéférence des Event ID WindowsComparatif des outils EVTX

FAQ journaux d'événements

Qu'est-ce qu'un fichier EVTX ?
EVTX est le format binaire du journal d'événements Windows introduit avec Windows Vista. Chaque fichier .evtx est une suite de blocs de 64 Ko ; chaque bloc contient une table de modèles XML suivie d'un flux d'enregistrements qui y font référence. L'analyse reconstitue le XML complet de chaque événement.
Où se trouvent les fichiers .evtx sous Windows ?
Les journaux actifs se trouvent sous C:\Windows\System32\winevt\Logs. Les trois principaux en forensique sont Security.evtx (connexions, privilèges), System.evtx (pilotes, services) et Application.evtx (erreurs applicatives). Les canaux Sysmon et PowerShell sont généralement les plus précieux en réponse à incident.
Cet outil envoie-t-il mes .evtx quelque part ?
Non. L'analyse s'effectue dans un Web Worker via un parseur EVTX en Rust compilé en WebAssembly. Le fichier est chargé en mémoire dans le navigateur et n'est jamais transmis. Coupez le réseau si vous souhaitez le vérifier.
Que signifie la colonne Niveau ?
Les niveaux EVTX sont numériques : 1 Critique, 2 Erreur, 3 Avertissement, 4 Information, 5 Détaillé. Microsoft place certains ID classiques (ex. Security 4625 = échec d'authentification au niveau Information) — la gravité seule n'est pas un signal de tri.
Les fichiers .evtx volumineux sont-ils gérés ?
L'analyse tourne dans un Web Worker. La mémoire croît avec la taille du fichier ; quelques centaines de Mo passent facilement dans un navigateur moderne. Pour les collections plus grosses, exportez avec evtx_dump et chargez par tranches.