Security.evtx — o log de eventos de segurança do Windows

O Security.evtx é o canal que registra a autenticação, o uso de privilégios e o gerenciamento de contas em um host Windows. É o log mais importante em quase toda investigação de resposta a incidentes, e você pode abri-lo aqui no navegador sem o Event Viewer ou uma máquina Windows.

Abrir Security.evtx no navegador ↗

O que é o Security.evtx?

O Security.evtx fica em C:\Windows\System32\winevt\Logs ao lado de System.evtx e Application.evtx. Ele contém o canal Security: eventos de logon e logoff, atribuições de privilégios, criação de processos (com a auditoria de linha de comando habilitada), alterações de contas e grupos e a atividade de tickets Kerberos emitida pelo Security Reference Monitor local.

Como captura quem se autenticou, de onde e o que fez, o Security.evtx é onde o movimento lateral, a elevação de privilégios e a persistência normalmente deixam seu primeiro rastro. É também um alvo antiforense de primeira linha — o evento 1102 registra que o próprio log foi limpo.

Event ID principais do Security.evtx

Como abrir um arquivo Security.evtx

Solte o Security.evtx no parser acima (ou carregue-o junto com o System.evtx e o canal do Sysmon para uma triagem entre logs). A análise é executada localmente por meio de um parser Rust/WebAssembly — o log nunca sai do seu navegador. Filtre por Event ID, inspecione o XML bruto de cada registro e exporte para CSV, JSON ou XML.