System.evtx — Windows のシステムイベントログ
System.evtx は、Windows ホスト上でオペレーティングシステム、ドライバー、サービスが何を行うかを記録します。サービスによる永続化、ドライバーの読み込み、予期しない再起動が現れる場所であり、Event Viewer も Windows マシンも使わずに、ここブラウザで開けます。
System.evtx とは?
System.evtx は C:\Windows\System32\winevt\Logs に、Security.evtx や Application.evtx と並んで存在します。System チャネルを保持し、サービスのインストールと状態変更(Service Control Manager による)、ドライバーイベント、Event Log サービスの開始/停止、時刻や電源の遷移が含まれます。
DFIR にとっては Security.evtx の相棒です。永続化のためにインストール(7045)されて開始(7036)された悪意あるサービスはここに記録され、Event Log サービスの開始/停止のペア(6005/6006)と 104 は、ログが無効化または消去されていた空白期間を見つける手がかりになります。
System.evtx の主要な Event ID
System.evtx ファイルを開く方法
上のパーサーに System.evtx をドロップします(または Security.evtx と一緒に読み込んで、統合タイムラインを作成します)。解析は Rust/WebAssembly パーサーによってローカルで実行され — ログがブラウザの外に出ることはありません。Event ID でフィルタリングし、各レコードの生 XML を確認して、CSV、JSON、XML にエクスポートできます。