EVTX parser — visualizzatore di log eventi Windows nel browser
Trascina un log eventi .evtx di Windows. L'analisi viene eseguita interamente nel browser via WebAssembly — non viene caricato nulla.
Guide in evidenza
- Event ID Windows 4624: decodificare ogni accesso riuscitoCosa contiene davvero un record 4624, perché il campo LogonType conta più dell'evento stesso, e come leggerli su larga scala.
- Event ID 4688 spiegato: auditing della creazione di processi Windows per DFIRIl 4688 è il process create del SO di base — se il command-line auditing è on. Cosa contiene, come differisce dal Sysmon 1 e i pattern di triage utili.
- Event ID 4769 spiegato: service ticket Kerberos e kerberoastingIl 4769 è il record del DC di ogni richiesta di service ticket. Leggilo attraverso il tipo di encryption e individui il kerberoasting; leggilo insieme al 4768 e individui il pass-the-ticket.
- Formato file EVTX spiegato: chunk, template e interni BinXMLCome è strutturato un file .evtx a livello di byte — header del file, chunk da 64 KB, tabella dei template e lo stream di record BinXML che la referenzia.
FAQ log eventi
- Cos'è un file EVTX?
- EVTX è il formato binario del log eventi di Windows introdotto con Windows Vista. Ogni .evtx è una sequenza di blocchi da 64 KB; ogni blocco contiene una tabella di template XML e un flusso di record che la referenziano. L'analisi ricostruisce l'XML completo di ogni evento.
- Dove si trovano i .evtx su Windows?
- I log attivi stanno in C:\Windows\System32\winevt\Logs. I tre principali in ambito forense sono Security.evtx (accessi, privilegi), System.evtx (driver, servizi) e Application.evtx (errori applicativi). I canali Sysmon e PowerShell sono di solito i più preziosi in incident response.
- Questo strumento carica il mio .evtx da qualche parte?
- No. L'analisi avviene in un Web Worker con un parser EVTX in Rust compilato in WebAssembly. Il file viene letto in memoria del browser e mai trasmesso. Disconnetti la rete per verificarlo.
- Cosa significa la colonna Livello?
- I livelli EVTX sono numerici: 1 Critico, 2 Errore, 3 Avviso, 4 Informazione, 5 Dettagliato. Microsoft colloca alcuni ID noti (es. Security 4625 = autenticazione fallita a livello Informazione) — la severità da sola non basta per il triage.
- Riesce a gestire .evtx molto grandi?
- L'analisi gira in un Web Worker. La memoria cresce con la dimensione del file; qualche centinaio di MB è comodo nei browser moderni. Per raccolte più grandi, esporta con evtx_dump e ricarica a tratti.