EVTX parser — 浏览器中的 Windows 事件日志查看器
将一个 Windows .evtx 事件日志拖入。解析全部在浏览器中通过 WebAssembly 完成 — 不会上传任何内容。
精选指南
- Windows 事件 ID 4624:解读每一次成功登录4624 记录里到底包含什么、为什么 LogonType 字段比事件本身更关键、分诊时应该重点关注哪些字段,以及如何在大规模日志数据中高效地读懂这些登录事件,应用于事件响应与威胁狩猎的实用指引。
- Event ID 4688 详解:面向 DFIR 的 Windows 进程创建审计4688 是基础 OS 的进程创建记录 —— 前提是命令行审计已开启。这里讲它包含什么、与 Sysmon 1 的区别,以及真正用得上的分诊模式。
- Event ID 4769 详解:Kerberos 服务票据与 kerberoasting4769 是 DC 对每次服务票据请求的记录。从加密类型读它,你能发现 kerberoasting;和 4768 一起读,你能发现 pass-the-ticket。
- EVTX 文件格式详解:chunk、模板与 BinXML 内部结构从字节层面看一个 .evtx 文件如何布局 —— 文件头、64 KB 的 chunk、模板表,以及引用这些模板的 BinXML 记录流。
事件日志 FAQ
- 什么是 EVTX 文件?
- EVTX 是 Windows Vista 引入的二进制事件日志格式。每个 .evtx 文件由若干 64 KB 的块组成;每个块包含一张 XML 模板表以及一串引用这些模板的记录。解析过程会为每条事件还原出完整的 XML。
- Windows 上 .evtx 在哪里?
- 运行中的日志位于 C:\Windows\System32\winevt\Logs。取证中最重要的三个是 Security.evtx(登录、特权使用)、System.evtx(驱动、服务)和 Application.evtx(应用错误)。在事件响应中,Sysmon 与 PowerShell 通道通常最有价值。
- 这个工具会把我的 .evtx 上传到任何地方吗?
- 不会。解析在 Web Worker 中通过编译为 WebAssembly 的 Rust 版 EVTX 解析器进行。文件只在浏览器内存中读取,绝不会传输出去。可以断开网络来验证。
- 「级别」列是什么意思?
- EVTX 的级别是数字:1 严重、2 错误、3 警告、4 信息、5 详细。微软将一些常见 ID 映射到固定级别(如 Security 4625 = 认证失败在「信息」级别) — 仅凭级别不足以判定优先级。
- 能解析非常大的 .evtx 吗?
- 解析运行在 Web Worker 线程中。内存随文件大小增长;数百 MB 在现代浏览器中可以从容处理。更大的集合可以先用 evtx_dump 导出,再分段加载。