#EVTX

Zircolite是一款开源的日志威胁检测工具，支持Windows EVTX、Auditd、Sysmon for Linux等多种日志格式。它使用SIGMA规则进行检测，具有快速处理大数据、基于SQLite的规则解析和多种结果导出格式等特点。工具提供Python源码和预编译二进制文件，并配有详细文档和教程。其内置的离线Mini-GUI可用于结果可视化和搜索。