EVTX parser — visualizador de logs de eventos Windows no navegador
Solte um log de eventos .evtx do Windows. A análise roda inteiramente no navegador via WebAssembly — nada é enviado.
Guias em destaque
- Event ID Windows 4624: decodificando cada logon bem-sucedidoO que um registro 4624 realmente contém, por que o campo LogonType importa mais que o próprio evento, e como lê-los em escala.
- Event ID 4688 explicado: auditoria de criação de processos do Windows para DFIRO 4688 é o registo de criação de processo do SO base, desde que a auditoria de linha de comandos esteja ligada. Eis o que contém, em que difere do Sysmon 1 e os padrões de triagem que valem o seu lugar.
- Event ID 4769 explicado: tickets de serviço Kerberos e kerberoastingO 4769 é o registo do DC de cada pedido de service ticket. Lê-lo pelo tipo de encriptação e revela kerberoasting. Lê-lo com o 4768 e revela pass-the-ticket.
- Formato do ficheiro EVTX explicado: chunks, templates e internals do BinXMLComo um ficheiro .evtx está organizado ao nível dos bytes: cabeçalho de ficheiro, chunks de 64 KB, a tabela de templates e o stream de registos BinXML que a referencia.
Um visualizador de EVTX online e gratuito que roda no seu navegador
O EVTX parser é um visualizador de EVTX online e um analisador de logs de eventos do Windows. Abra um arquivo .evtx — Security.evtx, System.evtx, Application.evtx, canais do Sysmon ou do PowerShell — e leia cada registro sem o Event Viewer, sem instalar nada e sem um host Windows.
A análise é executada inteiramente no lado do cliente por meio de um parser Rust compilado para WebAssembly, de modo que seus logs nunca saem do navegador. Filtre por Event ID, provedor, canal ou horário, inspecione o XML bruto dos eventos e exporte os resultados para CSV, JSON ou XML com alguns cliques. Agora você pode abrir vários arquivos .evtx ao mesmo tempo e triá-los em uma visão combinada.
Continue lendo:Converter EVTX para XML, JSON ou CSVAbrir Security.evtxAbrir System.evtxReferência de Event ID do WindowsFerramentas EVTX comparadas
FAQ logs de eventos
- O que é um arquivo EVTX?
- EVTX é o formato binário do log de eventos do Windows introduzido no Windows Vista. Cada .evtx é uma sequência de blocos de 64 KB; cada bloco contém uma tabela de templates XML e um fluxo de registros que a referenciam. A análise reconstrói o XML completo de cada evento.
- Onde encontro .evtx no Windows?
- Os logs ativos ficam em C:\Windows\System32\winevt\Logs. Os três principais para forense são Security.evtx (logons, privilégios), System.evtx (drivers, serviços) e Application.evtx (erros de aplicação). Os canais Sysmon e PowerShell costumam ser os mais valiosos em resposta a incidentes.
- Esta ferramenta envia meu .evtx para algum lugar?
- Não. A análise acontece em um Web Worker usando um parser EVTX em Rust compilado para WebAssembly. O arquivo é lido na memória do navegador e nunca transmitido. Desligue a rede se quiser verificar.
- O que significa a coluna Nível?
- Os níveis EVTX são numéricos: 1 Crítico, 2 Erro, 3 Aviso, 4 Informação, 5 Detalhado. A Microsoft atribui alguns IDs conhecidos (ex.: Security 4625 = falha de autenticação no nível Informação) — só a severidade não basta para triagem.
- Aguenta arquivos .evtx muito grandes?
- A análise roda em um Web Worker. A memória escala com o tamanho; algumas centenas de MB são confortáveis em navegadores modernos. Para coleções maiores, exporte com evtx_dump e recarregue em partes.