Security.evtx — Windows 安全事件日志

什么是 Security.evtx？

Security.evtx 位于 C:\Windows\System32\winevt\Logs，与 System.evtx 和 Application.evtx 并列。它保存 Security 通道：登录和注销事件、权限分配、进程创建（启用命令行审核时）、账户和组的更改，以及由本地 Security Reference Monitor 发出的 Kerberos 票据活动。

由于它记录了谁进行了身份验证、从何处以及做了什么，Security.evtx 通常是横向移动、权限提升和持久化留下第一道痕迹的地方。它也是反取证的首要目标——事件 1102 记录了日志本身被清除。

Security.evtx 关键 Event ID

• 4624登录成功
• 4625登录失败
• 4672已分配特殊权限
• 4688进程创建
• 4720已创建用户账户
• 4768已请求 Kerberos TGT
• 4769已请求 Kerberos 服务票据
• 1102审核日志已清除

如何打开 Security.evtx 文件

将 Security.evtx 拖到上方的解析器中（或与 System.evtx 和 Sysmon 通道一起加载，以进行跨日志分流）。解析通过 Rust/WebAssembly 解析器在本地运行——日志绝不会离开您的浏览器。按 Event ID 筛选，查看每条记录的原始 XML，并导出为 CSV、JSON 或 XML。