Los registros de eventos como se conocen en la actualidad se originaron con el sistema operativo NT 3.1 en el año 1993. Se han realizado pequeñas actualizaciones a través de la evolución de Windows NT, pero los nombres y ubicaciones de los registros de eventos se han mantenido sin cambio hasta Windows Server 2003. El formato original del registro de eventos utilizaba la extensión ".evt". Los registros de eventos se almacenan en formato binario, complicando la búsqueda de cadenas a nivel de bytes, y son implementados utilizando un buffer circular. El buffer circular da vueltas para (eventualmente) sobrescribir las entradas más antiguas con las más recientes. Los registro de eventos anteriores a Windows Vista pueden ser encontrados en “%system root%\System32\config”

Iniciando con Windows Vista y Windows Server 2008, se han realizado cambios significativos en las estructuras de los registros de eventos, tipos de registros de eventos, y ubicación de los registros de eventos. Los registros de eventos han tenido históricamente un desempeño no óptimo en los sistemas, y por lo tanto este nuevo formato utilizando la extensión ".evtx" fue creado para solucionar este y muchos otros problemas. Las buenas noticias son, con las nuevas optimizaciones es más probable encontrar registros de eventos siendo utilizados en los nuevos sistemas operativos. Adicionalmente a los cambios radicales hacia las estructuras de los registros de eventos, Vista y versiones recientes ahora emplean un mayor número de registros, y por lo tanto una nueva carpeta es creada para hospedar más de 60 registros. Estos pueden ser encontrados en “%system root%\System32\winevt\logs”

Adicionalmente, el nuevo formato del registro de eventos (finalmente) permite a los registros de eventos ser enviados hacia un recolector remoto de registros, así entonces es importante recordar, registros de eventos adicionales puede estar disponibles en servidores externos.

Es importante también anotar las carpetas detalladas son sólo ubicaciones por defecto. El administrador puede designar ubicaciones para registros individuales dentro de las siguientes llaves del registro de Windows.

HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Application
HKLM\SYSTEM\CurrentControlSet\Services\EventLog\System
HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Security

Fuentes:

https://technet.microsoft.com/en-us/library/cc722404(v=ws.11).aspx
https://technet.microsoft.com/en-us/library/dd277418.aspx
http://www.forensicswiki.org/wiki/Windows_Event_Log_(EVT)
http://forensicswiki.org/wiki/Windows_XML_Event_Log_(EVTX)