System.evtx — le journal d'événements système Windows
System.evtx enregistre ce que font le système d'exploitation, les pilotes et les services sur un hôte Windows. C'est là qu'apparaissent la persistance par services, les chargements de pilotes et les redémarrages inattendus, et vous pouvez l'ouvrir ici dans votre navigateur sans Event Viewer ni machine Windows.
Qu'est-ce que System.evtx ?
System.evtx se trouve dans C:\Windows\System32\winevt\Logs à côté de Security.evtx et Application.evtx. Il contient le canal System : l'installation et les changements d'état des services (par le Service Control Manager), les événements de pilotes, le démarrage/arrêt du service Event Log, ainsi que les transitions d'heure ou d'alimentation.
Pour le DFIR, c'est le compagnon de Security.evtx : un service malveillant installé pour la persistance (7045) puis démarré (7036) y est enregistré, et la paire de démarrage/arrêt du service Event Log (6005/6006) ainsi que l'événement 104 vous aident à repérer les périodes où la journalisation était désactivée ou effacée.
Event ID clés de System.evtx
Comment ouvrir un fichier System.evtx
Déposez System.evtx sur l'analyseur ci-dessus (ou chargez-le avec Security.evtx pour une chronologie combinée). L'analyse s'exécute localement via un analyseur Rust/WebAssembly — le journal ne quitte jamais votre navigateur. Filtrez par Event ID, inspectez le XML brut de chaque enregistrement et exportez en CSV, JSON ou XML.