exe249/EventLens

这是一个单文件、完全离线的 Windows 事件日志解码器。粘贴一个原始事件，即可获得可读的结论——谁对谁做了什么，来自哪里——以及每一个字段，还可以选择在整个事件期间构建关联时间线，并导出基于事实的摘要。 它只是一个 `.html` 文件。无需安装、无需服务器、无需构建步骤。下载下来并在浏览器中打开即可。 ## 目录 - [它是什么](#what-it-is) - [为什么没有 AI](#why-no-ai) - [隐私 / 离线](#privacy--offline) - [快速开始](#quick-start) - [立即体验](#try-it-now) - [功能](#features) - [支持的输入格式](#supported-input-formats) - [知识库 / 事件覆盖范围](#knowledge-base--event-coverage) - [适用范围](#scope) - [局限性](#limitations) - [案例 — 持久化](#cases--persistence) - [浏览器支持](#browser-support) - [贡献](#contributing) - [致谢](#acknowledgments) - [许可证](#license)  ## 它是什么 你只需粘贴一个 Windows 事件——无论是来自事件查看器、PowerShell 还是 SIEM 导出文件——EventLens 就会读取原始字段并生成通俗易懂的结论：谁对谁做了什么，来自哪里。所有字段都会显示在旁边，与源中的呈现完全一致。如果你正在处理某个事件，可以切换到“案例”选项卡，将事件汇总到时间线中，通过账户/IP/主机/进程进行交叉透视，并导出基于事实的摘要以便交接。 ## 为什么没有 AI EventLens 不使用 LLM，也不进行任何形式的推理调用。其解码是确定性的：一个手工构建的知识库将已知的事件 ID 映射到通俗语言的结论模板，并从事件自身的字段中提取内容进行填充。这正是离线保证得以实现的基础——没有可以调用的模型，所以也就没有什么需要向外请求的。这也意味着相同的事件始终会产生相同的结论，这对于你在调查中可能引用的任何内容都至关重要。 ## 隐私 / 离线 EventLens 不会发起任何形式的网络请求——没有遥测、没有 CDN、没有 Web 字体、没有分析数据。你粘贴或拖放的任何内容都保留在你的浏览器中。它唯一写入的是 `localStorage`，且只有两个键：你的浅色/深色主题偏好和你当前的案例。任何信息都不会被发送到任何地方。 你不必盲目相信这一点： - 打开 DevTools → Network 标签页并使用该工具。它会一直保持空白。 - 查看源代码。它只有一个内联的 `