Security.evtx — le journal d'événements de sécurité Windows
Security.evtx est le canal qui enregistre l'authentification, l'utilisation des privilèges et la gestion des comptes sur un hôte Windows. C'est le journal le plus important dans presque toutes les investigations de réponse à incident, et vous pouvez l'ouvrir ici dans votre navigateur sans Event Viewer ni machine Windows.
Qu'est-ce que Security.evtx ?
Security.evtx se trouve dans C:\Windows\System32\winevt\Logs, aux côtés de System.evtx et Application.evtx. Il contient le canal Security : les événements de connexion et de déconnexion, les attributions de privilèges, la création de processus (avec l'audit de ligne de commande activé), les modifications de comptes et de groupes, et l'activité des tickets Kerberos émise par le Security Reference Monitor local.
Parce qu'il capture qui s'est authentifié, depuis où et ce qu'il a fait, Security.evtx est l'endroit où le déplacement latéral, l'élévation de privilèges et la persistance laissent généralement leur première trace. C'est aussi une cible anti-forensique de premier plan — l'événement 1102 indique que le journal lui-même a été effacé.
Event ID clés de Security.evtx
Comment ouvrir un fichier Security.evtx
Déposez Security.evtx sur l'analyseur ci-dessus (ou chargez-le avec System.evtx et le canal Sysmon pour un tri inter-journaux). L'analyse s'exécute localement via un analyseur Rust/WebAssembly — le journal ne quitte jamais votre navigateur. Filtrez par Event ID, inspectez le XML brut de chaque enregistrement et exportez en CSV, JSON ou XML.