Skip to content
EVTX parser

事件日志笔记

关于 Windows 事件日志二进制格式、取证中常见的 Event ID 以及分诊流程的简短笔记。涵盖 EVTX 文件的内部结构、分块与模板机制、以及 BinXML 如何压缩事件记录的相关内容。文章侧重于事件响应、威胁狩猎和日志审查中真正用得上的实用细节,而不是 Event Viewer 界面里能看到的表层信息。新的笔记会持续添加,逐步覆盖更多与 Windows 事件日志取证相关的主题与工作流。

Event ID 4663 详解:用 SACL 做文件与注册表访问审计
4663 是每次对象访问的审计记录。在合适的文件和键上配好 SACL,你就能获得每次访问的细粒度日志 —— 对勒索软件、外泄和凭证库窃取都非常有用。
Event ID 4672 详解:检测 Windows 特权登录
每当一次登录被授予 SeDebugPrivilege 或 SeTcbPrivilege 等敏感权限时,4672 就会触发。把它视为「这次登录等价于管理员」的信号,你其余的审计策略就有了主心骨。
Event ID 4688 详解:面向 DFIR 的 Windows 进程创建审计
4688 是基础 OS 的进程创建记录 —— 前提是命令行审计已开启。这里讲它包含什么、与 Sysmon 1 的区别,以及真正用得上的分诊模式。
Event ID 4720 详解:检测 AD 中的恶意账户创建
4720 每次创建用户账号都会触发 —— 本地或 AD。把它和 4722/4724/4732 一起读,几分钟内就能发现持久化和横移账户。
Event ID 4768 详解:Kerberos TGT 请求与 AS-REP roasting
4768 是 DC 对每次 TGT 颁发的记录。从结果码和预认证标志读它,你能发现 AS-REP roasting、爆破和非约束委派滥用。
Event ID 4769 详解:Kerberos 服务票据与 kerberoasting
4769 是 DC 对每次服务票据请求的记录。从加密类型读它,你能发现 kerberoasting;和 4768 一起读,你能发现 pass-the-ticket。
Event ID 7036 详解:服务状态变化在 DFIR 分诊中的用途
7036 每次服务启动或停止都会触发。和 7045 配对,它能确认持久化是否真的执行了 —— 单独看,也能揭示服务滥用、防御规避和启动异常。
如何打开 evtx 文件(5 种方法,皆可免安装)
打开 Windows evtx 文件的五种方式 —— 浏览器、事件查看器、wevtutil、EvtxECmd、python-evtx。按主机操作系统与你能接受的麻烦程度自选。
什么是 evtx 文件?Windows 事件日志格式详解
evtx 文件是 Windows 事件日志的二进制格式。本文讲清楚它存在哪、内部结构是什么、与 .evt 有何不同,以及如何在不安装任何软件的情况下打开它。