EVTX parser — visualizzatore di log eventi Windows nel browser
Trascina un log eventi .evtx di Windows. L'analisi viene eseguita interamente nel browser via WebAssembly — non viene caricato nulla.
Guide in evidenza
- Event ID 4624 spiegato: logon Windows riuscito e riferimento LogonTypeCosa contiene davvero un record 4624, perché il campo LogonType conta più dell'evento stesso, e come leggerli su scala.
- Event ID 4688 spiegato: auditing di creazione processi Windows per il DFIR4688 è il record di creazione processi dell'OS base, a patto che l'auditing della command-line sia acceso. Ecco cosa c'è dentro, in cosa differisce da Sysmon 1 e i pattern di triage che si guadagnano lo stipendio.
- Event ID 4769 spiegato: service ticket Kerberos e kerberoasting4769 è il record del DC di ogni richiesta di service ticket. Leggilo attraverso il tipo di cifratura e individui il kerberoasting. Leggilo con 4768 e individui il pass-the-ticket.
- Formato di file EVTX spiegato: chunk, template e interni BinXMLCome un file .evtx è disposto a livello di byte: header del file, chunk da 64 KB, la tabella template, e lo stream di record BinXML che la referenzia.
Un visualizzatore EVTX online e gratuito che gira nel tuo browser
EVTX parser è un visualizzatore EVTX online e un parser dei registri eventi di Windows. Apri un file .evtx — Security.evtx, System.evtx, Application.evtx, i canali Sysmon o PowerShell — e leggi ogni record senza Event Viewer, senza installare nulla e senza un host Windows.
Il parsing avviene interamente lato client tramite un parser Rust compilato in WebAssembly, quindi i tuoi log non lasciano mai il browser. Filtra per Event ID, provider, canale o orario, ispeziona l'XML grezzo degli eventi ed esporta i risultati in CSV, JSON o XML con un paio di clic. Ora puoi aprire più file .evtx contemporaneamente e analizzarli in una vista combinata.
Continua a leggere:Convertire EVTX in XML, JSON o CSVAprire Security.evtxAprire System.evtxRiferimento degli Event ID di WindowsStrumenti EVTX a confronto
FAQ log eventi
- Cos'è un file EVTX?
- EVTX è il formato binario del log eventi di Windows introdotto con Windows Vista. Ogni .evtx è una sequenza di blocchi da 64 KB; ogni blocco contiene una tabella di template XML e un flusso di record che la referenziano. L'analisi ricostruisce l'XML completo di ogni evento.
- Dove si trovano i .evtx su Windows?
- I log attivi stanno in C:\Windows\System32\winevt\Logs. I tre principali in ambito forense sono Security.evtx (accessi, privilegi), System.evtx (driver, servizi) e Application.evtx (errori applicativi). I canali Sysmon e PowerShell sono di solito i più preziosi in incident response.
- Questo strumento carica il mio .evtx da qualche parte?
- No. L'analisi avviene in un Web Worker con un parser EVTX in Rust compilato in WebAssembly. Il file viene letto in memoria del browser e mai trasmesso. Disconnetti la rete per verificarlo.
- Cosa significa la colonna Livello?
- I livelli EVTX sono numerici: 1 Critico, 2 Errore, 3 Avviso, 4 Informazione, 5 Dettagliato. Microsoft colloca alcuni ID noti (es. Security 4625 = autenticazione fallita a livello Informazione) — la severità da sola non basta per il triage.
- Riesce a gestire .evtx molto grandi?
- L'analisi gira in un Web Worker. La memoria cresce con la dimensione del file; qualche centinaio di MB è comodo nei browser moderni. Per raccolte più grandi, esporta con evtx_dump e ricarica a tratti.