System.evtx — Windows 系统事件日志
System.evtx 记录操作系统、驱动程序和服务在 Windows 主机上的行为。它是基于服务的持久化、驱动程序加载和意外重启出现的地方,您可以在此处的浏览器中打开它,无需 Event Viewer 或 Windows 机器。
什么是 System.evtx?
System.evtx 位于 C:\Windows\System32\winevt\Logs,与 Security.evtx 和 Application.evtx 并列。它保存 System 通道:服务安装和状态更改(来自 Service Control Manager)、驱动程序事件、Event Log 服务的启动/停止,以及时间或电源转换。
对于 DFIR,它是 Security.evtx 的搭档:为持久化而安装(7045)并启动(7036)的恶意服务会记录在此,而 Event Log 服务的启动/停止对(6005/6006)加上 104 可帮助您发现日志被关闭或清除的空白时段。
System.evtx 关键 Event ID
如何打开 System.evtx 文件
将 System.evtx 拖到上方的解析器中(或与 Security.evtx 一起加载,以获得合并的时间线)。解析通过 Rust/WebAssembly 解析器在本地运行——日志绝不会离开您的浏览器。按 Event ID 筛选,查看每条记录的原始 XML,并导出为 CSV、JSON 或 XML。