Skip to content
.evtx

EVTX parser — 浏览器中的 Windows 事件日志查看器

将一个 Windows .evtx 事件日志拖入。解析全部在浏览器中通过 WebAssembly 完成 — 不会上传任何内容。

一款在浏览器中运行的免费在线 EVTX 查看器

EVTX parser 是一款在线 EVTX 查看器和 Windows 事件日志解析器。打开一个 .evtx 文件——Security.evtx、System.evtx、Application.evtx、Sysmon 或 PowerShell 通道——无需 Event Viewer、无需安装任何软件、也无需 Windows 主机即可读取每一条记录。

解析完全在客户端通过编译为 WebAssembly 的 Rust 解析器运行,因此您的日志绝不会离开浏览器。按 Event ID、提供程序、通道或时间进行筛选,查看事件的原始 XML,并只需点击几下即可将结果导出为 CSV、JSON 或 XML。现在您可以一次打开多个 .evtx 文件,并在一个合并视图中进行分流。

继续阅读:将 EVTX 转换为 XML、JSON 或 CSV打开 Security.evtx打开 System.evtxWindows Event ID 参考EVTX 工具对比

事件日志 FAQ

什么是 EVTX 文件?
EVTX 是 Windows Vista 引入的二进制事件日志格式。每个 .evtx 文件由若干 64 KB 的块组成;每个块包含一张 XML 模板表以及一串引用这些模板的记录。解析过程会为每条事件还原出完整的 XML。
Windows 上 .evtx 在哪里?
运行中的日志位于 C:\Windows\System32\winevt\Logs。取证中最重要的三个是 Security.evtx(登录、特权使用)、System.evtx(驱动、服务)和 Application.evtx(应用错误)。在事件响应中,Sysmon 与 PowerShell 通道通常最有价值。
这个工具会把我的 .evtx 上传到任何地方吗?
不会。解析在 Web Worker 中通过编译为 WebAssembly 的 Rust 版 EVTX 解析器进行。文件只在浏览器内存中读取,绝不会传输出去。可以断开网络来验证。
「级别」列是什么意思?
EVTX 的级别是数字:1 严重、2 错误、3 警告、4 信息、5 详细。微软将一些常见 ID 映射到固定级别(如 Security 4625 = 认证失败在「信息」级别) — 仅凭级别不足以判定优先级。
能解析非常大的 .evtx 吗?
解析运行在 Web Worker 线程中。内存随文件大小增长;数百 MB 在现代浏览器中可以从容处理。更大的集合可以先用 evtx_dump 导出,再分段加载。