EVTX parser — visualiseur de journaux Windows dans le navigateur
Déposez un journal d'événements Windows .evtx. L'analyse s'exécute entièrement dans votre navigateur via WebAssembly — rien n'est téléversé.
Guides en vedette
- Event ID 4624 expliqué : logon Windows réussi et référence LogonTypeCe qu'un enregistrement 4624 contient réellement, pourquoi le champ LogonType compte plus que l'événement lui-même, et comment les lire à grande échelle.
- Event ID 4688 expliqué : audit de création de processus Windows pour le DFIR4688 est l'enregistrement de création de processus du système de base, à condition que l'audit de la ligne de commande soit activé. Voici ce qu'il contient, en quoi il diffère de Sysmon 1 et les motifs de triage qui gagnent leur place.
- Event ID 4769 expliqué : tickets de service Kerberos et kerberoasting4769 est l'enregistrement DC de chaque demande de ticket de service. Lisez-le via le type de chiffrement et vous repérez le kerberoasting. Lisez-le avec 4768 et vous repérez le pass-the-ticket.
- Format de fichier EVTX expliqué : chunks, templates et internes BinXMLComment un fichier .evtx est disposé au niveau octet : en-tête de fichier, chunks de 64 Ko, la table de templates, et le flux d'enregistrements BinXML qui la référence.
Une visionneuse EVTX en ligne et gratuite qui s'exécute dans votre navigateur
EVTX parser est une visionneuse EVTX en ligne et un analyseur de journaux d'événements Windows. Ouvrez un fichier .evtx — Security.evtx, System.evtx, Application.evtx, les canaux Sysmon ou PowerShell — et lisez chaque enregistrement sans Event Viewer, sans rien installer et sans machine Windows.
L'analyse s'effectue entièrement côté client grâce à un analyseur Rust compilé en WebAssembly : vos journaux ne quittent jamais le navigateur. Filtrez par Event ID, fournisseur, canal ou horodatage, inspectez le XML brut des événements, et exportez les résultats en CSV, JSON ou XML en quelques clics. Vous pouvez désormais ouvrir plusieurs fichiers .evtx à la fois et les trier dans une vue unifiée.
Pour aller plus loin :Convertir un EVTX en XML, JSON ou CSVOuvrir Security.evtxOuvrir System.evtxRéférence des Event ID WindowsComparatif des outils EVTX
FAQ journaux d'événements
- Qu'est-ce qu'un fichier EVTX ?
- EVTX est le format binaire du journal d'événements Windows introduit avec Windows Vista. Chaque fichier .evtx est une suite de blocs de 64 Ko ; chaque bloc contient une table de modèles XML suivie d'un flux d'enregistrements qui y font référence. L'analyse reconstitue le XML complet de chaque événement.
- Où se trouvent les fichiers .evtx sous Windows ?
- Les journaux actifs se trouvent sous C:\Windows\System32\winevt\Logs. Les trois principaux en forensique sont Security.evtx (connexions, privilèges), System.evtx (pilotes, services) et Application.evtx (erreurs applicatives). Les canaux Sysmon et PowerShell sont généralement les plus précieux en réponse à incident.
- Cet outil envoie-t-il mes .evtx quelque part ?
- Non. L'analyse s'effectue dans un Web Worker via un parseur EVTX en Rust compilé en WebAssembly. Le fichier est chargé en mémoire dans le navigateur et n'est jamais transmis. Coupez le réseau si vous souhaitez le vérifier.
- Que signifie la colonne Niveau ?
- Les niveaux EVTX sont numériques : 1 Critique, 2 Erreur, 3 Avertissement, 4 Information, 5 Détaillé. Microsoft place certains ID classiques (ex. Security 4625 = échec d'authentification au niveau Information) — la gravité seule n'est pas un signal de tri.
- Les fichiers .evtx volumineux sont-ils gérés ?
- L'analyse tourne dans un Web Worker. La mémoire croît avec la taille du fichier ; quelques centaines de Mo passent facilement dans un navigateur moderne. Pour les collections plus grosses, exportez avec evtx_dump et chargez par tranches.