À partir de Windows Vista, Microsoft est passé de l’ancien format .evt au format moderne .evtx (XML). Ces fichiers ne sont pas en texte clair ; ils nécessitent des parseurs spécialisés ou l’Observateur d’événements Windows natif pour être lus.
C:\Windows\System32\winevt\Logs\.evtx a une taille maximale prédéfinie (souvent 20 Mo par défaut pour le journal de Sécurité). Une fois cette limite atteinte, les événements les plus anciens sont immédiatement écrasés. Sur un contrôleur de domaine très sollicité, le journal de Sécurité pourrait ne couvrir qu’une fenêtre de quelques heures.Windows génère des centaines de canaux de journaux, mais les intervenants sur incident se concentrent principalement sur une poignée de fichiers critiques pour établir l’accès initial, l’exécution et la persistance.
Security.evtx (Le Graal)
Le journal le plus critique pour traquer le comportement des adversaires. Il enregistre l’authentification (connexions/déconnexions), l’élévation de privilèges, la création de processus et l’accès aux objets. Note forensique : de nombreux événements critiques dans ce journal nécessitent que l’audit via les stratégies de groupe (GPO) soit explicitement activé.
System.evtx (Santé et Services)
Surveille le cœur du système d’exploitation. Il enregistre les démarrages/arrêts du système, les chargements de pilotes et, fait crucial, l’installation de nouveaux services Windows (un mécanisme de persistance principal).
Application.evtx (Activité logicielle)
Enregistre les événements générés par les logiciels installés. Très utile pour identifier les plantages d’applications, les alertes d’anciens antivirus ou les erreurs de bases de données.
Journaux opérationnels (Contexte granulaire)
Des sous-systèmes spécifiques possèdent leurs propres journaux très détaillés. Exemples :
Microsoft-Windows-TerminalServices-*.evtx (Pour le suivi RDP).Microsoft-Windows-TaskScheduler%4Operational.evtx (Pour les tâches planifiées).Microsoft-Windows-PowerShell%4Operational.evtx (Pour l’audit des blocs de script).Afin d’accélérer le triage, les analystes doivent maîtriser la corrélation d’ID d’événements spécifiques à travers différents journaux.
Security.evtx)Security.evtx)System.evtx) : installation de service. L’indicateur définitif d’une porte dérobée déployée ou d’une exécution de PsExec.Security.evtx) : création de tâche planifiée.Security.evtx) : création de compte utilisateur (Comptes backdoors).Parce que les fichiers EVTX sont hautement compromettants, les adversaires sophistiqués tenteront de les effacer. Heureusement, l’acte même d’effacer les journaux génère une alerte indélébile.
Lors d’un incident majeur, ouvrir manuellement les fichiers .evtx dans l’Observateur d’événements est inefficace. Les équipes DFIR s’appuient sur des parseurs à haute vitesse pour ingérer le XML binaire vers des formats CSV ou des plateformes SIEM pour la corrélation chronologique.
:: EvtxECmd analyse des fichiers individuels ou des répertoires entiers de journaux EVTX.:: Il utilise des 'Maps' pour enrichir automatiquement la sortie (ex: résoudre le Logon Type 3 en "Network").
EvtxECmd.exe -d "C:\Forensics\Export\winevt\Logs" --csv "C:\Forensics\Results" --csvf timeline_events.csv# Une commande de triage à chaud (live) rapide pour extraire les 50 derniers échecs de connexion (Chasse aux attaques Force Brute)Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4625} -MaxEvents 50 | Select-Object TimeCreated, Id, Message