EVTX parser — visualizador de logs de eventos Windows no navegador
Solte um log de eventos .evtx do Windows. A análise roda inteiramente no navegador via WebAssembly — nada é enviado.
Guias em destaque
- Event ID Windows 4624: decodificando cada logon bem-sucedidoO que um registro 4624 realmente contém, por que o campo LogonType importa mais que o próprio evento, e como lê-los em escala.
- Event ID 4688 explicado: auditoria de criação de processos do Windows para DFIR4688 é o registro base do SO para criação de processo — desde que command-line auditing esteja ligado. Eis o que ele contém, como difere do Sysmon 1, e os padrões de triagem que ganham o pão.
- Event ID 4769 explicado: service tickets Kerberos e kerberoasting4769 é o registro do DC de cada requisição de service ticket. Leia-o pelo encryption type e você identifica kerberoasting; leia-o com 4768 e você identifica pass-the-ticket.
- Formato de arquivo EVTX explicado: chunks, templates e internals de BinXMLComo um arquivo .evtx é organizado em nível de byte — file header, chunks de 64 KB, a tabela de templates e o stream de registros BinXML que a referencia.
FAQ logs de eventos
- O que é um arquivo EVTX?
- EVTX é o formato binário do log de eventos do Windows introduzido no Windows Vista. Cada .evtx é uma sequência de blocos de 64 KB; cada bloco contém uma tabela de templates XML e um fluxo de registros que a referenciam. A análise reconstrói o XML completo de cada evento.
- Onde encontro .evtx no Windows?
- Os logs ativos ficam em C:\Windows\System32\winevt\Logs. Os três principais para forense são Security.evtx (logons, privilégios), System.evtx (drivers, serviços) e Application.evtx (erros de aplicação). Os canais Sysmon e PowerShell costumam ser os mais valiosos em resposta a incidentes.
- Esta ferramenta envia meu .evtx para algum lugar?
- Não. A análise acontece em um Web Worker usando um parser EVTX em Rust compilado para WebAssembly. O arquivo é lido na memória do navegador e nunca transmitido. Desligue a rede se quiser verificar.
- O que significa a coluna Nível?
- Os níveis EVTX são numéricos: 1 Crítico, 2 Erro, 3 Aviso, 4 Informação, 5 Detalhado. A Microsoft atribui alguns IDs conhecidos (ex.: Security 4625 = falha de autenticação no nível Informação) — só a severidade não basta para triagem.
- Aguenta arquivos .evtx muito grandes?
- A análise roda em um Web Worker. A memória escala com o tamanho; algumas centenas de MB são confortáveis em navegadores modernos. Para coleções maiores, exporte com evtx_dump e recarregue em partes.