EVTX parser — visualiseur de journaux Windows dans le navigateur

Déposez un journal d'événements Windows .evtx. L'analyse s'exécute entièrement dans votre navigateur via WebAssembly — rien n'est téléversé.

Déposez un .evtx ici ou cliquez pour choisirLes fichiers restent sur votre appareil. Analyse 100 % côté client.

Guides en vedette

Event ID Windows 4624 : décoder chaque connexion réussieCe que contient réellement un enregistrement 4624, pourquoi le champ LogonType compte plus que l'événement lui-même, et comment les lire à grande échelle.
Event ID 4688 expliqué : audit de création de processus Windows pour le DFIR4688 est l'enregistrement de création de processus de l'OS — à condition d'activer l'audit de ligne de commande. Contenu, différences avec Sysmon 1 et patterns de triage.
Event ID 4769 expliqué : tickets service Kerberos et kerberoasting4769 est l'enregistrement DC de chaque demande de ticket service. Lu via le type de chiffrement, il révèle le kerberoasting ; lu avec 4768, il révèle le pass-the-ticket.
Format de fichier EVTX expliqué : chunks, templates et internals BinXMLComment un fichier .evtx est agencé au niveau octet — en-tête de fichier, chunks de 64 Ko, table de templates et flux d'enregistrements BinXML qui la référence.

FAQ journaux d'événements

Qu'est-ce qu'un fichier EVTX ?: EVTX est le format binaire du journal d'événements Windows introduit avec Windows Vista. Chaque fichier .evtx est une suite de blocs de 64 Ko ; chaque bloc contient une table de modèles XML suivie d'un flux d'enregistrements qui y font référence. L'analyse reconstitue le XML complet de chaque événement.
Où se trouvent les fichiers .evtx sous Windows ?: Les journaux actifs se trouvent sous C:\Windows\System32\winevt\Logs. Les trois principaux en forensique sont Security.evtx (connexions, privilèges), System.evtx (pilotes, services) et Application.evtx (erreurs applicatives). Les canaux Sysmon et PowerShell sont généralement les plus précieux en réponse à incident.
Cet outil envoie-t-il mes .evtx quelque part ?: Non. L'analyse s'effectue dans un Web Worker via un parseur EVTX en Rust compilé en WebAssembly. Le fichier est chargé en mémoire dans le navigateur et n'est jamais transmis. Coupez le réseau si vous souhaitez le vérifier.
Que signifie la colonne Niveau ?: Les niveaux EVTX sont numériques : 1 Critique, 2 Erreur, 3 Avertissement, 4 Information, 5 Détaillé. Microsoft place certains ID classiques (ex. Security 4625 = échec d'authentification au niveau Information) — la gravité seule n'est pas un signal de tri.
Les fichiers .evtx volumineux sont-ils gérés ?: L'analyse tourne dans un Web Worker. La mémoire croît avec la taille du fichier ; quelques centaines de Mo passent facilement dans un navigateur moderne. Pour les collections plus grosses, exportez avec evtx_dump et chargez par tranches.