drop windows evtx csv · 4688 4672 4648 4624 · escalation patterns · process tree · privilege alerts · timeline export · runs locally
drop evtx csv exports (event viewer / evtxecmd)