System.evtx — o log de eventos do sistema do Windows
O System.evtx registra o que o sistema operacional, os drivers e os serviços fazem em um host Windows. É onde a persistência baseada em serviços, os carregamentos de drivers e as reinicializações inesperadas aparecem, e você pode abri-lo aqui no navegador sem o Event Viewer ou uma máquina Windows.
O que é o System.evtx?
O System.evtx fica em C:\Windows\System32\winevt\Logs ao lado de Security.evtx e Application.evtx. Ele contém o canal System: instalação de serviços e mudanças de estado (pelo Service Control Manager), eventos de drivers, início/parada do serviço Event Log e transições de hora ou energia.
Para o DFIR, é o companheiro do Security.evtx: um serviço malicioso instalado para persistência (7045) e iniciado (7036) é registrado aqui, e o par de início/parada do serviço Event Log (6005/6006) mais o 104 ajudam você a identificar lacunas em que o registro estava desativado ou foi limpo.
Event ID principais do System.evtx
Como abrir um arquivo System.evtx
Solte o System.evtx no parser acima (ou carregue-o junto com o Security.evtx para uma linha do tempo combinada). A análise é executada localmente por meio de um parser Rust/WebAssembly — o log nunca sai do seu navegador. Filtre por Event ID, inspecione o XML bruto de cada registro e exporte para CSV, JSON ou XML.