Skip to content
EVTX parser

将 EVTX 转换为 XML、JSON 或 CSV

直接在浏览器中将 Windows .evtx 事件日志转换为干净的 XML、JSON 或 CSV。解析和转换通过编译为 WebAssembly 的 Rust 解析器在客户端运行,因此文件绝不会离开您的设备——无需上传,无需安装,也无需 Windows 主机。

打开 EVTX 转换器

您需要哪种格式?

EVTX 转 XML

.evtx 文件中的每个事件都以 BinXML 形式相对于模板表存储。转换器为每条记录重建准确的 <Event> XML——与 wevtutil 或 Get-WinEvent 输出的结构相同——因此您可以对其执行 grep、diff,或将其输入支持 XML 的流水线。

EVTX 转 JSON

JSON 导出将每条记录的 System 块和 EventData 字段扁平化为每个事件一个对象,可直接用于 jq、SIEM 摄取路径或 notebook。当您同时需要两者时,事件的原始 XML 会与解析后的字段一并包含在内。

EVTX 转 CSV

CSV 导出为每个事件提供一行,包含常用列(记录、时间、级别、Event ID、提供程序、通道、计算机)。先筛选到单个 Event ID,EventData 的键就会变成真正的列——直接在 Excel 中打开结果即可。

如何转换 EVTX 文件

  1. 1
    打开转换器打开 EVTX parser 主页。不会上传任何内容——页面会加载一个完全在您浏览器标签页中运行的 WebAssembly 解析器。
  2. 2
    拖入您的 .evtx 文件将 .evtx 文件(Security.evtx、System.evtx、Sysmon、PowerShell…)拖到拖放区,或单击选择一个。您可以一次拖入多个文件,将它们一起转换。
  3. 3
    导出为 XML、JSON 或 CSV如有需要可先筛选或排序,然后单击导出。选择 JSON 或 CSV,或启用原始 XML 列以捕获每个事件的完整 XML。文件将下载到本地。

EVTX 转换常见问题

EVTX 转换器是免费的吗?它会上传我的文件吗?
它是免费的,并且不会上传任何内容。.evtx 会被读入您浏览器的内存,并使用 Rust/WebAssembly 解析器在本地解析;即使断开网络连接它仍可正常工作。
如何在没有 Windows 的情况下将 EVTX 转换为 XML?
在 Linux 或 macOS 上使用这个浏览器内转换器,或使用 evtx_dump 命令行工具。两者都能离线重建事件 XML——无需 Event Viewer、wevtutil 或 Windows 运行时。
我可以转换大型 EVTX 文件或多个文件吗?
可以。在现代浏览器中处理几百 MB 毫无压力,您还可以加载多个 .evtx 文件,并将它们导出为一个合并的 CSV 或 JSON。