Skip to content
EVTX parser

イベントログ ノート

Windows イベントログのバイナリ形式、フォレンジックで重要な Event ID、トリアージ ワークフローに関する短いメモ集です。EVTX ファイルの内部構造、チャンクとテンプレートの仕組み、BinXML が記録をどのように圧縮するかを扱います。インシデント レスポンス、脅威ハンティング、ログ レビューに役立つ実用的な情報を中心にまとめています。すべての記事は、Event Viewer の画面ではなく、実際のフォレンジック作業で必要となる詳細に焦点を当てています。新しいメモは随時追加されます。

Event ID 4663 を解読する:SACL によるファイル & レジストリ アクセス監査
4663 はオブジェクト アクセスごとの監査レコード。適切なファイルとキーに SACL を設定すれば、誰が何に触れたかをバイト単位で記録できる — ランサムウェア、データ持ち出し、資格情報ストア窃取に有効。
Event ID 4672 を解読する:Windows での特権ログオン検知
4672 は、SeDebugPrivilege や SeTcbPrivilege のような重要な特権がログオンに付与されるたびに発火。「このログオンは管理者相当」というシグナルとして読めば、監査ポリシーの残りが腑に落ちる。
Event ID 4688 を解読する:DFIR のための Windows プロセス作成監査
4688 はベース OS のプロセス作成レコード — コマンドライン監査がオンなら。Sysmon 1 との違い、そして元を取れるトリアージ パターンを解説。
Event ID 4720 を解読する:AD における不正アカウント作成の検知
4720 はユーザー アカウントが作成されるたびに発火 — ローカルでも AD でも。4722/4724/4732 と一緒に読めば、永続化や横展開用アカウントを数分で発見できる。
Event ID 4768 を解読する:Kerberos TGT 要求と AS-REP roasting
4768 は DC が発行する各 TGT のレコード。結果コードと事前認証フラグで読めば、AS-REP roasting、ブルートフォース、無制約委任の悪用を発見できる。
Event ID 4769 を解読する:Kerberos サービス チケットとケルベロースト
4769 は DC が発行する各サービス チケット要求のレコード。暗号化タイプで読めばケルベローストが、4768 と読めば pass-the-ticket が見える。
Event ID 7036 を解読する:DFIR トリアージのためのサービス状態変化
7036 はサービスの起動 / 停止のたびに発火。7045 と組み合わせれば永続化が実際に動いたかを確認でき、単体でもサービス不正利用、防御回避、起動異常を明かす。
.evtx ファイルの開き方(5 つの方法、インストール不要)
Windows の .evtx ファイルを開く 5 つの方法 — ブラウザ、イベント ビューア、wevtutil、EvtxECmd、python-evtx。ホスト OS と許容できる手間に応じて選んでください。
.evtx ファイルとは何か:Windows イベント ログ形式を解説
.evtx ファイルはバイナリ形式の Windows イベント ログです。保存場所、内部構造、.evt との違い、そしてインストール不要で開く方法を解説します。