EVTX parser — 浏览器中的 Windows 事件日志查看器
将一个 Windows .evtx 事件日志拖入。解析全部在浏览器中通过 WebAssembly 完成 — 不会上传任何内容。
精选指南
- Windows 事件 ID 4624:解读每一次成功登录4624 记录里到底包含什么、为什么 LogonType 字段比事件本身更关键、分诊时应该重点关注哪些字段,以及如何在大规模日志数据中高效地读懂这些登录事件,应用于事件响应与威胁狩猎的实用指引。
- Event ID 4688 解读:用于 DFIR 的 Windows 进程创建审计在启用命令行审计的前提下,4688 是基础操作系统的进程创建记录。本文讲清它里面是什么、与 Sysmon 1 的区别,以及物有所值的分诊模式。
- Event ID 4769 解读:Kerberos 服务票据与 kerberoasting4769 是 DC 对每一次服务票据请求的记录。按加密类型来读,可以发现 kerberoasting;与 4768 配在一起读,可以发现 pass-the-ticket。
- EVTX 文件格式解读:块、模板与 BinXML 内部一个 .evtx 文件在字节层面的布局:文件头、64 KB 块、模板表,以及引用它的 BinXML 记录流。
一款在浏览器中运行的免费在线 EVTX 查看器
EVTX parser 是一款在线 EVTX 查看器和 Windows 事件日志解析器。打开一个 .evtx 文件——Security.evtx、System.evtx、Application.evtx、Sysmon 或 PowerShell 通道——无需 Event Viewer、无需安装任何软件、也无需 Windows 主机即可读取每一条记录。
解析完全在客户端通过编译为 WebAssembly 的 Rust 解析器运行,因此您的日志绝不会离开浏览器。按 Event ID、提供程序、通道或时间进行筛选,查看事件的原始 XML,并只需点击几下即可将结果导出为 CSV、JSON 或 XML。现在您可以一次打开多个 .evtx 文件,并在一个合并视图中进行分流。
继续阅读:将 EVTX 转换为 XML、JSON 或 CSV打开 Security.evtx打开 System.evtxWindows Event ID 参考EVTX 工具对比
事件日志 FAQ
- 什么是 EVTX 文件?
- EVTX 是 Windows Vista 引入的二进制事件日志格式。每个 .evtx 文件由若干 64 KB 的块组成;每个块包含一张 XML 模板表以及一串引用这些模板的记录。解析过程会为每条事件还原出完整的 XML。
- Windows 上 .evtx 在哪里?
- 运行中的日志位于 C:\Windows\System32\winevt\Logs。取证中最重要的三个是 Security.evtx(登录、特权使用)、System.evtx(驱动、服务)和 Application.evtx(应用错误)。在事件响应中,Sysmon 与 PowerShell 通道通常最有价值。
- 这个工具会把我的 .evtx 上传到任何地方吗?
- 不会。解析在 Web Worker 中通过编译为 WebAssembly 的 Rust 版 EVTX 解析器进行。文件只在浏览器内存中读取,绝不会传输出去。可以断开网络来验证。
- 「级别」列是什么意思?
- EVTX 的级别是数字:1 严重、2 错误、3 警告、4 信息、5 详细。微软将一些常见 ID 映射到固定级别(如 Security 4625 = 认证失败在「信息」级别) — 仅凭级别不足以判定优先级。
- 能解析非常大的 .evtx 吗?
- 解析运行在 Web Worker 线程中。内存随文件大小增长;数百 MB 在现代浏览器中可以从容处理。更大的集合可以先用 evtx_dump 导出,再分段加载。