Skip to content
.evtx

EVTX parser — ブラウザで動く Windows イベントログ ビューア

Windows の .evtx イベントログをドロップしてください。解析は WebAssembly でブラウザ内のみで実行され、アップロードは一切ありません。

ブラウザ上で動作する無料のオンラインEVTXビューア

EVTX parser は、オンラインのEVTXビューア兼Windowsイベントログ解析ツールです。.evtxファイル(Security.evtx、System.evtx、Application.evtx、Sysmon や PowerShell のチャネル)を開き、Event Viewer を使わず、何もインストールせず、Windows ホストも不要で、すべてのレコードを読めます。

解析は WebAssembly にコンパイルされた Rust パーサーによって完全にクライアント側で実行されるため、ログがブラウザの外に出ることはありません。Event ID、プロバイダー、チャネル、時刻でフィルタリングし、イベントの生のXMLを確認して、数クリックで結果を CSV、JSON、XML にエクスポートできます。複数の .evtx ファイルを同時に開き、ひとつの統合ビューでトリアージできるようになりました。

さらに読む:EVTX を XML、JSON、CSV に変換Security.evtx を開くSystem.evtx を開くWindows Event ID リファレンスEVTX ツール比較

イベントログ FAQ

EVTX ファイルとは?
EVTX は Windows Vista で導入されたバイナリ形式の Windows イベントログです。各 .evtx ファイルは 64 KB のチャンクが連なった構造で、各チャンクは XML テンプレートのテーブルとそれを参照するレコード列で構成されます。解析するとイベントごとの完全な XML が再構築されます。
Windows のどこに .evtx がありますか?
稼働中のログは C:\Windows\System32\winevt\Logs にあります。フォレンジックで重要な 3 つは Security.evtx(ログオン、特権使用)、System.evtx(ドライバ、サービス)、Application.evtx(アプリ エラー)です。インシデント対応では Sysmon と PowerShell のチャネルが最も価値を持つことが多いです。
このツールは私の .evtx をどこかへ送りますか?
いいえ。解析は WebAssembly にコンパイルされた Rust 製の EVTX パーサーを Web Worker 上で実行します。ファイルはブラウザのメモリ上で読み込まれるだけで送信されません。確認したい場合はネットワークを切断してください。
レベル列は何を意味しますか?
EVTX のレベルは数値です: 1 重大、2 エラー、3 警告、4 情報、5 詳細。Microsoft はよく知られた一部の ID をマッピングしています(例: Security 4625 = 認証失敗は「情報」レベル) — レベルだけでトリアージはできません。
巨大な .evtx でも解析できますか?
解析は Web Worker スレッドで実行されます。メモリ使用量はファイル サイズに比例します。最新のブラウザなら数百 MB は快適に扱えます。それ以上は evtx_dump で先にエクスポートし、分割して読み込んでください。