Инструмент для просмотра файлов журнала событий Windows в формате .evtx.

Клиент прислал мне несколько файлов экспорта журнала событий .evtx. Я ищу бесплатную программу просмотра с возможностями фильтрации/запроса.

  • Я просмотрел MyEventViewer от NirSoft с его /LoadFilesопцией, но из документации неясно, загружает ли он файлы в файлы журнала, чего я определенно не хочу (комментарий, что я должен указать соответствующее имя типа журнала, вызывает у меня подозрение) . Он также говорит только о файлах .evt, а не .evtx. Если кто-нибудь может подтвердить, что он не загружает файлы в системные журналы, я могу продолжить расследование. (Я отправил им письмо, но ответа пока нет, см. принятый ответ).

  • Windows Event Viewer Plus не может загружать файлы

  • EvtLogParser подходит близко. Это удобно для запросов, но не имеет режима «просмотреть все», где вы можете просто просмотреть файл без фильтрации. Как минимум, мне нужно выбрать тип события (ошибка, предупреждение, информация...), чтобы он работал, но, возможно, есть что-то лучше.

  • В Event Log Explorer есть все, что мне нравится, но у него есть только бесплатная версия для личного использования.

  • MS Log Parser — это инструмент командной строки ;-)

Нет графического интерфейса, но библиотека python-evtx может анализировать ваши журналы ошибок в ASCII XML. github.com/williballenthin/python-evtx

Ответы (3)

В дополнение к моему другому ответу я случайно узнал:

Вы можете просто дважды щелкнуть файл .evtx, и он откроется в средстве просмотра журнала событий Windows в отдельной папке « Сохраненные журналы »:

введите описание изображения здесь

Так что нет опасности перезаписи или слияния с собственными журналами событий (именно это и побудило меня написать вопрос).

В ответ на мой запрос Nirsoft обновил свой MyEventViewer (который читает только старые файлы журнала .evt levent) и опубликовал FullEventLogView v1.00 .

FullEventLogView — это простой инструмент для Windows 10/8/7/Vista, который отображает в таблице сведения обо всех событиях из журналов событий Windows, включая описание события. Он позволяет вам просматривать события вашего локального компьютера, события удаленного компьютера в вашей сети и события, хранящиеся в файлах .evtx. Это также позволяет вам экспортировать список событий в файл text/csv/tab-delimited/html/xml из графического интерфейса и из командной строки.

Выбор источника:

введите описание изображения здесь

Затем фильтрация выполняется в дополнительных параметрах:

введите описание изображения здесь

Gigasheet — это бесплатный онлайн-инструмент для анализа данных о кибербезопасности. Вы можете открывать файлы EVTX в интерфейсе, похожем на электронную таблицу, который поддерживает поиск, фильтрацию и сегментацию больших файлов EVTX. Вы можете бесплатно загружать файлы размером до 10 ГБ и экспортировать файлы в формате CSV. Полное раскрытие: я соучредитель Gigasheet.

Подробнее о просмотрщике EVTX здесь: https://www.gigasheet.co/post/online-evtx-parser-and-viewer

Добро пожаловать, Джейсон! Наше сообщество требует полного раскрытия любой связи с программным обеспечением, которое вы рекомендуете. Пожалуйста, отредактируйте свой пост, указав свою принадлежность к программному обеспечению, которое вы рекомендуете. Спасибо!
Инструмент для просмотра файлов журнала событий Windows в формате .evtx.
СпросиСетьПолитика конфиденциальности1y, 0v