EVTX parser — ブラウザで動く Windows イベントログ ビューア
Windows の .evtx イベントログをドロップしてください。解析は WebAssembly でブラウザ内のみで実行され、アップロードは一切ありません。
おすすめガイド
- Windows イベント ID 4624:成功したログオンを解読する4624 レコードに実際に何が入っているのか、なぜ LogonType フィールドがイベント自体より重要なのか、トリアージで注目すべきフィールド、そして大量のレコードをフォレンジックで効率よく読み解くための実用的なヒント。
- Event ID 4688 を解読する:DFIR のための Windows プロセス作成監査4688 はベース OS のプロセス作成レコード — コマンドライン監査がオンなら。Sysmon 1 との違い、そして元を取れるトリアージ パターンを解説。
- Event ID 4769 を解読する:Kerberos サービス チケットとケルベロースト4769 は DC が発行する各サービス チケット要求のレコード。暗号化タイプで読めばケルベローストが、4768 と読めば pass-the-ticket が見える。
- EVTX ファイル形式を解読する:チャンク、テンプレート、BinXML 内部.evtx ファイルがバイト レベルでどう配置されているか — ファイル ヘッダ、64 KB チャンク、テンプレート テーブル、そしてそれを参照する BinXML レコード ストリーム。
イベントログ FAQ
- EVTX ファイルとは?
- EVTX は Windows Vista で導入されたバイナリ形式の Windows イベントログです。各 .evtx ファイルは 64 KB のチャンクが連なった構造で、各チャンクは XML テンプレートのテーブルとそれを参照するレコード列で構成されます。解析するとイベントごとの完全な XML が再構築されます。
- Windows のどこに .evtx がありますか?
- 稼働中のログは C:\Windows\System32\winevt\Logs にあります。フォレンジックで重要な 3 つは Security.evtx(ログオン、特権使用)、System.evtx(ドライバ、サービス)、Application.evtx(アプリ エラー)です。インシデント対応では Sysmon と PowerShell のチャネルが最も価値を持つことが多いです。
- このツールは私の .evtx をどこかへ送りますか?
- いいえ。解析は WebAssembly にコンパイルされた Rust 製の EVTX パーサーを Web Worker 上で実行します。ファイルはブラウザのメモリ上で読み込まれるだけで送信されません。確認したい場合はネットワークを切断してください。
- レベル列は何を意味しますか?
- EVTX のレベルは数値です: 1 重大、2 エラー、3 警告、4 情報、5 詳細。Microsoft はよく知られた一部の ID をマッピングしています(例: Security 4625 = 認証失敗は「情報」レベル) — レベルだけでトリアージはできません。
- 巨大な .evtx でも解析できますか?
- 解析は Web Worker スレッドで実行されます。メモリ使用量はファイル サイズに比例します。最新のブラウザなら数百 MB は快適に扱えます。それ以上は evtx_dump で先にエクスポートし、分割して読み込んでください。