wevtutil

Permite recuperar información acerca de los registros de eventos y los editores. También puede utilizar este comando para instalar y desinstalar los manifiestos de eventos, ejecutar consultas, y exportar, archivar y borrar registros.

Sintaxis

wevtutil [{el | enum-logs}] [{gl | get-log} <Logname> [/f:<Format>]]
[{sl | set-log} <Logname> [/e:<Enabled>] [/i:<Isolation>] [/lfn:<Logpath>] [/rt:<Retention>] [/ab:<Auto>] [/ms:<MaxSize>] [/l:<Level>] [/k:<Keywords>] [/ca:<Channel>] [/c:<Config>]]
[{ep | enum-publishers}]
[{gp | get-publisher} <Publishername> [/ge:<Metadata>] [/gm:<Message>] [/f:<Format>]] [{im | install-manifest} <Manifest>]
[{um | uninstall-manifest} <Manifest>] [{qe | query-events} <Path> [/lf:<Logfile>] [/sq:<Structquery>] [/q:<Query>] [/bm:<Bookmark>] [/sbm:<Savebm>] [/rd:<Direction>] [/f:<Format>] [/l:<Locale>] [/c:<Count>] [/e:<Element>]]
[{gli | get-loginfo} <Logname> [/lf:<Logfile>]]
[{epl | export-log} <Path> <Exportfile> [/lf:<Logfile>] [/sq:<Structquery>] [/q:<Query>] [/ow:<Overwrite>]]
[{al | archive-log} <Logpath> [/l:<Locale>]]
[{cl | clear-log} <Logname> [/bu:<Backup>]] [/r:<Remote>] [/u:<Username>] [/p:<Password>] [/a:<Auth>] [/uni:<Unicode>]

Parámetros

Parámetro Descripción
{el | enum-logs} Muestra los nombres de todos los registros.
{gl | get-log} < Logname > [/f: < Formato > ] Muestra información de configuración para el registro especificado, que incluye si el registro está habilitado o no, el límite de tamaño máximo actual del registro y la ruta de acceso al archivo donde se almacena el registro.
{sl | set-log} < Logname > [/e: < Enabled ] > [/i: < Isolation ] > [/lfn: < Logpath ] > [/rt: < Retention ] > [/ab: < Auto ] > [/ms: < MaxSize ] > [/l: < Level ] > [/k: < Keywords ] > [/ca: < Channel ] > [/c: < Config > ] Modifica la configuración del registro especificado.
{ep | enum-publishers} Muestra los publicadores de eventos en el equipo local.
{gp | get-publisher} < Publishername > [/ge: < Metadata ] > [/gm: < Message ] > [/f: < Format > ]] Muestra la información de configuración del publicador de eventos especificado.
{im | install-manifest} < Manifiesto> Instala los publicadores de eventos y los registros de un manifiesto. Para obtener más información sobre los manifiestos de eventos y el uso de este parámetro, vea el SDK del registro de eventos de Windows en el sitio web de Microsoft Developers Network (MSDN) ( https://msdn.microsoft.com ).
{um | uninstall-manifest} < Manifiesto> Desinstala todos los publicadores y registros de un manifiesto. Para obtener más información sobre los manifiestos de eventos y el uso de este parámetro, vea el SDK del registro de eventos de Windows en el sitio web de Microsoft Developers Network (MSDN) ( https://msdn.microsoft.com ).
{qe | query-events} < Ruta > de acceso [/lf: < Logfile ] > [/sq: < Structquery > ] [/q: < Query ] > [/bm: < Bookmark ] > [/sbm: < Savebm ] > [/rd: < Direction ] > [/f: < Format ] > [/l: < Locale ] > [/c: < Count ] > [/e: < Element > ] Lee eventos de un registro de eventos, de un archivo de registro o mediante una consulta estructurada. De forma predeterminada, se proporciona un nombre de registro para < Path > . Sin embargo, si usa la opción /lf, Path debe ser una ruta de acceso a un archivo de > registro. Si usa el parámetro /sq, Path debe ser una ruta de acceso a un archivo que contenga una consulta > estructurada.
{gli | get-loginfo} < Logname > [/lf: < Logfile > ] Muestra información de estado sobre un registro de eventos o un archivo de registro. Si se usa la opción /lf, Logname es una ruta de acceso > a un archivo de registro. Puede ejecutar wevtutil el para obtener una lista de nombres de registro.
{epl | export-log} < Path >< Exportfile > [/lf: < Logfile > ] [/sq: < Structquery > ] [/q: < Query ] > [/ow: < Overwrite > ] Exporta eventos desde un registro de eventos, desde un archivo de registro o mediante una consulta estructurada al archivo especificado. De forma predeterminada, se proporciona un nombre de registro para < Path > . Sin embargo, si usa la opción /lf, Path debe ser una ruta de acceso a un archivo de > registro. Si usa la opción /sq, Path debe ser una ruta de acceso a un archivo que contenga una consulta > estructurada. <Exportfile > es una ruta de acceso al archivo donde se almacenarán los eventos exportados.
{al | archive-log} < Logpath > [/l: < Configuración regional > ] Archiva el archivo de registro especificado en un formato autocontenido. Se crea un subdirectorio con el nombre de la configuración regional y toda la información específica de la configuración regional se guarda en ese subdirectorio. Después de crear el directorio y el archivo de registro mediante la ejecución de wevtutil al, los eventos del archivo se pueden leer tanto si el publicador está instalado como si no.
{cl | clear-log} < Logname > [/bu: Copia < de seguridad > ] Borra los eventos del registro de eventos especificado. La opción /bu se puede usar para realizar una copia de seguridad de los eventos borrados.

Opciones

Opción Descripción
/f: < Formato> Especifica que la salida debe ser XML o formato de texto. Si < Format > es XML, la salida se muestra en formato XML. Si < Format > es Text, la salida se muestra sin etiquetas XML. El valor predeterminado es Text.
/e: < Habilitado> Habilita o deshabilita un registro. <Enabled > puede ser true o false.
/i: < Aislamiento> Establece el modo de aislamiento de registro. <El > aislamiento puede ser sistema, aplicación o personalizado. El modo de aislamiento de un registro determina si un registro comparte una sesión con otros registros de la misma clase de aislamiento. Si especifica el aislamiento del sistema, el registro de destino compartirá al menos permisos de escritura con el registro del sistema. Si especifica el aislamiento de la aplicación, el registro de destino compartirá al menos permisos de escritura con el registro de aplicación. Si especifica aislamiento personalizado, también debe proporcionar un descriptor de seguridad mediante la opción /ca.
/lfn: < Logpath> Define el nombre del archivo de registro. <Logpath > es una ruta de acceso completa al archivo donde el servicio de registro de eventos almacena eventos para este registro.
/rt: < Retención> Establece el modo de retención de registros. <La > retención puede ser true o false. El modo de retención de registros determina el comportamiento del servicio de registro de eventos cuando un registro alcanza su tamaño máximo. Si un registro de eventos alcanza su tamaño máximo y el modo de retención de registros es true, se conservan los eventos existentes y se descartan los eventos entrantes. Si el modo de retención de registros es false, los eventos entrantes sobrescriben los eventos más antiguos del registro.
/ab: < Auto> Especifica la directiva de copia de seguridad automática de registros. <Auto > puede ser true o false. Si este valor es true, se hará una copia de seguridad del registro automáticamente cuando alcance el tamaño máximo. Si este valor es true, la retención (especificada con la opción /rt) también debe establecerse en true.
/ms: < MaxSize> Establece el tamaño máximo del registro en bytes. El tamaño mínimo del registro es 1048576 bytes (1024 KB) y los archivos de registro siempre son múltiplo de 64 KB, por lo que el valor especificado se redondeará en consecuencia.
/l: < Level> Define el filtro de nivel del registro. <Level > puede ser cualquier valor de nivel válido. Esta opción solo es aplicable a los registros con una sesión dedicada. Puede quitar un filtro de nivel estableciendo < Nivel > en 0.
/k: < Palabras clave> Especifica el filtro de palabras clave del registro. <Las palabras > clave pueden ser cualquier máscara válida de palabra clave de 64 bits. Esta opción solo es aplicable a los registros con una sesión dedicada.
/ca: < Channel> Establece el permiso de acceso para un registro de eventos. <Channel > es un descriptor de seguridad que usa el Lenguaje de definición de descriptores de seguridad (SDDL). Para obtener más información sobre el formato SDDL, vea el sitio web de Microsoft Developers Network (MSDN) ( https://msdn.microsoft.com ).
/c: < Config> Especifica la ruta de acceso a un archivo de configuración. Esta opción hará que las propiedades del registro se lean desde el archivo de configuración definido en < Config > . Si usa esta opción, no debe especificar un < parámetro > Logname. El nombre del registro se leerá del archivo de configuración.
/ge: < Metadatos> Obtiene información de metadatos para los eventos que puede generar este publicador. <Los > metadatos pueden ser true o false.
/gm: < Mensaje> Muestra el mensaje real en lugar del identificador numérico del mensaje. <El > mensaje puede ser true o false.
/lf: < Logfile> Especifica que los eventos se deben leer desde un registro o desde un archivo de registro. <El archivo > de registro puede ser true o false. Si es true, el parámetro del comando es la ruta de acceso a un archivo de registro.
/sq: < Structquery> Especifica que los eventos se deben obtener con una consulta estructurada. <Structquery > puede ser true o false. Si es true, < Path es la ruta de acceso a un archivo que contiene una consulta > estructurada.
/q: < Consulta> Define la consulta XPath para filtrar los eventos que se leen o exportan. Si no se especifica esta opción, se devolverán o exportarán todos los eventos. Esta opción no está disponible cuando /sq es true.
/bm: < Marcador> Especifica la ruta de acceso a un archivo que contiene un marcador de una consulta anterior.
/sbm: < Savebm> Especifica la ruta de acceso a un archivo que se usa para guardar un marcador de esta consulta. La extensión de nombre de archivo debe .xml.
/rd: < Dirección> Especifica la dirección en la que se leen los eventos. <La > dirección puede ser true o false. Si es true, primero se devuelven los eventos más recientes.
/l: < Configuración regional> Define una cadena de configuración regional que se usa para imprimir el texto del evento en una configuración regional específica. Solo está disponible al imprimir eventos en formato de texto mediante la opción /f.
/c: < Recuento> Establece el número máximo de eventos que se leerán.
/e: < Elemento> Incluye un elemento raíz al mostrar eventos en XML. <Element > es la cadena que desea dentro del elemento raíz. Por ejemplo, /e:root daría como resultado XML que contiene la raíz del par de elementos raíz > .
/ow: < Sobrescribir> Especifica que se debe sobrescribir el archivo de exportación. <La > sobrescritura puede ser true o false. Si es true y el archivo de exportación especificado en Exportfile ya <> existe, se sobrescribirá sin confirmación.
/bu: Copia < de seguridad> Especifica la ruta de acceso a un archivo donde se almacenarán los eventos borrados. Incluya la extensión .evtx en el nombre del archivo de copia de seguridad.
/r: < Remoto> Ejecuta el comando en un equipo remoto. <Remoto > es el nombre del equipo remoto. Los parámetros im y um no admiten la operación remota.
/u: Nombre de < usuario> Especifica un usuario diferente para iniciar sesión en un equipo remoto. <Username > es un nombre de usuario con el formato dominio\usuario o usuario. Esta opción solo es aplicable cuando se especifica la opción /r.
/p: < Contraseña> Especifica la contraseña del usuario. Si se usa la opción /u y no se especifica esta opción o la contraseña es *, se pedirá al usuario que escriba una > contraseña. Esta opción solo es aplicable cuando se especifica la opción /u.
/a: < Auth> Define el tipo de autenticación para conectarse a un equipo remoto. <La > autenticación puede ser Default, Negotiate, Kerberos o NTLM. El valor predeterminado es Negotiate.
/uni: < Unicode> Muestra la salida en Unicode. <Unicode > puede ser true o false. Si < Unicode > es true, la salida está en Unicode.

Observaciones

  • Uso de un archivo de configuración con el parámetro sl

    El archivo de configuración es un archivo XML con el mismo formato que la salida de wevtutil gl < Logname > /f:xml. Para muestra el formato de un archivo de configuración que habilita la retención, habilita la copia de seguridad automática y establece el tamaño máximo del registro en el registro de aplicación:

    <?xml version=1.0 encoding=UTF-8?>
    <channel name=Application isolation=Application
    xmlns=https://schemas.microsoft.com/win/2004/08/events>
    <logging>
    <retention>true</retention>
    <autoBackup>true</autoBackup>
    <maxSize>9000000</maxSize>
    </logging>
    <publishing>
    </publishing>
    </channel>
    

Ejemplos

Enumera los nombres de todos los registros:

wevtutil el

Mostrar información de configuración sobre el registro del sistema en el equipo local en formato XML:

wevtutil gl System /f:xml

Use un archivo de configuración para establecer los atributos del registro de eventos (consulte Comentarios para obtener un ejemplo de un archivo de configuración):

wevtutil sl /c:config.xml

Muestre información sobre el publicador de eventos Microsoft-Windows-Eventlog, incluidos los metadatos sobre los eventos que el publicador puede generar:

wevtutil gp Microsoft-Windows-Eventlog /ge:true

Instale publicadores y registros desde el myManifest.xml de manifiesto:

wevtutil im myManifest.xml

Desinstale los publicadores y los registros del myManifest.xml de manifiesto:

wevtutil um myManifest.xml

Muestre los tres eventos más recientes del registro de aplicación en formato textual:

wevtutil qe Application /c:3 /rd:true /f:text

Muestre el estado del registro de aplicación:

wevtutil gli Application

Exportar eventos del registro del sistema a C:\backup\system0506.evtx:

wevtutil epl System C:\backup\system0506.evtx

Borre todos los eventos del registro de aplicación después de guardarlos en C:\admin\backups\a10306.evtx:

wevtutil cl Application /bu:C:\admin\backups\a10306.evtx

Referencias adicionales