Herramienta para ver archivos de registro de eventos de Windows .evtx

Un cliente me envió algunos archivos de exportación de registro de eventos .evtx. Estoy buscando un visor gratuito con capacidades de filtro/consulta.

  • Miré MyEventViewer de NirSoft con su /LoadFilesopción, pero a partir de la documentación no está claro si eso carga los archivos en los archivos de registro, lo que definitivamente no quiero (el comentario de que tengo que especificar el nombre de tipo de registro apropiado me hace sospechar) . También habla solo de archivos .evt, no de .evtx. Si alguien puede confirmar que no carga los archivos en los registros del sistema, puedo investigarlo más a fondo. (Les he enviado un correo, pero aún no hay respuesta, ver respuesta aceptada).

  • Windows Event Viewer Plus no puede cargar archivos

  • EvtLogParser se acerca. Es útil para realizar consultas, pero no tiene el modo 'ver todo' en el que puede navegar por el archivo sin filtrar. Como mínimo, tengo que seleccionar el tipo de evento (error, advertencia, información...) para que funcione, pero tal vez haya algo mejor.

  • Event Log Explorer tiene todo lo que me gusta, pero solo tiene una versión gratuita para uso personal

  • MS Log Parser es una herramienta de línea de comandos ;-)

Sin GUI, pero la biblioteca python-evtx puede analizar sus registros de errores en XML ASCII. github.com/williballenthin/python-evtx

Respuestas (3)

Además de mi otra respuesta, descubrí por accidente:

Puede simplemente hacer doble clic en un archivo .evtx y se abrirá en el Visor de registro de eventos de Windows en una carpeta de registros guardados separada:

ingrese la descripción de la imagen aquí

Por lo tanto, no hay peligro de sobrescribir o fusionarse con sus propios registros de eventos (eso es lo que me llevó a escribir la pregunta).

En respuesta a mi consulta, Nirsoft actualizó su MyEventViewer (que solo lee los archivos de registro de eventos .evt de estilo antiguo) y publicó FullEventLogView v1.00 .

FullEventLogView es una herramienta sencilla para Windows 10/8/7/Vista que muestra en una tabla los detalles de todos los eventos de los registros de eventos de Windows, incluida la descripción del evento. Le permite ver los eventos de su computadora local, los eventos de una computadora remota en su red y los eventos almacenados en archivos .evtx. También le permite exportar la lista de eventos a un archivo text/csv/tab-delimited/html/xml desde la GUI y desde la línea de comandos.

Selección de la fuente:

ingrese la descripción de la imagen aquí

El filtrado se realiza entonces en las Opciones Avanzadas:

ingrese la descripción de la imagen aquí

Gigasheet es una herramienta gratuita de análisis de datos de ciberseguridad en línea. Puede abrir archivos EVTX en una interfaz similar a una hoja de cálculo que admite la búsqueda, el filtrado y la segmentación de archivos EVTX de gran tamaño. Puede cargar archivos de hasta 10 GB de forma gratuita y exportar archivos como CSV. Divulgación completa: soy cofundador de Gigasheet.

Más detalles sobre el visor EVTX aquí: https://www.gigasheet.co/post/online-evtx-parser-and-viewer

¡Bienvenido Jasón! Nuestra comunidad requiere la divulgación completa de cualquier afiliación con el software que recomiende. Edite su publicación para incluir su afiliación con el software que está recomendando. ¡Gracias!
Herramienta para ver archivos de registro de eventos de Windows .evtx
RespuestasAquíPolítica de privacidad1y, 1v