System.evtx — il registro eventi di sistema di Windows
System.evtx registra ciò che fanno il sistema operativo, i driver e i servizi su un host Windows. È dove emergono la persistenza basata sui servizi, i caricamenti di driver e i riavvii imprevisti, e puoi aprirlo qui nel browser senza Event Viewer né una macchina Windows.
Cos'è System.evtx?
System.evtx risiede in C:\Windows\System32\winevt\Logs accanto a Security.evtx e Application.evtx. Contiene il canale System: installazione dei servizi e cambi di stato (dal Service Control Manager), eventi dei driver, avvio/arresto del servizio Event Log e transizioni di orario o alimentazione.
Per il DFIR è il complemento di Security.evtx: un servizio malevolo installato per la persistenza (7045) e avviato (7036) viene registrato qui, e la coppia di avvio/arresto del servizio Event Log (6005/6006) più il 104 ti aiutano a individuare le lacune in cui il logging era disattivato o cancellato.
Event ID chiave di System.evtx
Come aprire un file System.evtx
Rilascia System.evtx sul parser qui sopra (oppure caricalo insieme a Security.evtx per una timeline combinata). Il parsing viene eseguito localmente tramite un parser Rust/WebAssembly — il log non lascia mai il browser. Filtra per Event ID, ispeziona l'XML grezzo di ogni record ed esporta in CSV, JSON o XML.