wevtutilwevtutil

Permite recuperar información acerca de los registros de eventos y los editores.Enables you to retrieve information about event logs and publishers. También puede utilizar este comando para instalar y desinstalar los manifiestos de eventos, ejecutar consultas, y exportar, archivar y borrar registros.You can also use this command to install and uninstall event manifests, to run queries, and to export, archive, and clear logs. Para obtener ejemplos de cómo utilizar este comando, consulte Ejemplos.For examples of how to use this command, see Examples.

SintaxisSyntax

wevtutil [{el | enum-logs}] [{gl | get-log} <Logname> [/f:<Format>]]
[{sl | set-log} <Logname> [/e:<Enabled>] [/i:<Isolation>] [/lfn:<Logpath>] [/rt:<Retention>] [/ab:<Auto>] [/ms:<MaxSize>] [/l:<Level>] [/k:<Keywords>] [/ca:<Channel>] [/c:<Config>]] 
[{ep | enum-publishers}] 
[{gp | get-publisher} <Publishername> [/ge:<Metadata>] [/gm:<Message>] [/f:<Format>]] [{im | install-manifest} <Manifest>] 
[{um | uninstall-manifest} <Manifest>] [{qe | query-events} <Path> [/lf:<Logfile>] [/sq:<Structquery>] [/q:<Query>] [/bm:<Bookmark>] [/sbm:<Savebm>] [/rd:<Direction>] [/f:<Format>] [/l:<Locale>] [/c:<Count>] [/e:<Element>]] 
[{gli | get-loginfo} <Logname> [/lf:<Logfile>]] 
[{epl | export-log} <Path> <Exportfile> [/lf:<Logfile>] [/sq:<Structquery>] [/q:<Query>] [/ow:<Overwrite>]] 
[{al | archive-log} <Logpath> [/l:<Locale>]] 
[{cl | clear-log} <Logname> [/bu:<Backup>]] [/r:<Remote>] [/u:<Username>] [/p:<Password>] [/a:<Auth>] [/uni:<Unicode>]

ParámetrosParameters

ParámetroParameter DescripciónDescription
{el | enum-logs}{el | enum-logs} Muestra los nombres de todos los registros.Displays the names of all logs.
{GL | Get-log} <logname > [/f:<formato >]{gl | get-log} <Logname> [/f:<Format>] Muestra información de configuración del registro especificado, que incluye si el registro está habilitado o no, el límite de tamaño máximo actual del registro y la ruta de acceso al archivo donde se almacena el registro.Displays configuration information for the specified log, which includes whether the log is enabled or not, the current maximum size limit of the log, and the path to the file where the log is stored.
{SL | set-log} <logname > [/e:<Enabled >] [/i:<Isolation >] [/LFN:<LogPath >] [/RT:<Retention >] [/AB:<auto >] [/ms:<MaxSize >] [/l:<nivel >] [/k:<Keywords >] [/CA:<canal >] [/c:<Config >]{sl | set-log} <Logname> [/e:<Enabled>] [/i:<Isolation>] [/lfn:<Logpath>] [/rt:<Retention>] [/ab:<Auto>] [/ms:<MaxSize>] [/l:<Level>] [/k:<Keywords>] [/ca:<Channel>] [/c:<Config>] Modifica la configuración del registro especificado.Modifies the configuration of the specified log.
{EP | enum-Publishers}{ep | enum-publishers} Muestra los publicadores de eventos en el equipo local.Displays the event publishers on the local computer.
{GP | Get-Publisher} <PublisherName > [/GE:<Metadata >] [/GM:<Message >] [/f:<Format >]]{gp | get-publisher} <Publishername> [/ge:<Metadata>] [/gm:<Message>] [/f:<Format>]] Muestra la información de configuración para el publicador de eventos especificado.Displays the configuration information for the specified event publisher.
{im | install-manifest} <manifiesto >{im | install-manifest} <Manifest> Instala publicadores de eventos y registros desde un manifiesto.Installs event publishers and logs from a manifest. Para obtener más información acerca de los manifiestos de eventos y el uso de este parámetro, vea el SDK del registro de eventos de Windows en el sitio web de Microsoft Developers Network (MSDN) (https://msdn.microsoft.com).For more information about event manifests and using this parameter, see the Windows Event Log SDK at the Microsoft Developers Network (MSDN) Web site (https://msdn.microsoft.com).
{Um | uninstall-manifest} <manifiesto >{um | uninstall-manifest} <Manifest> Desinstala todos los publicadores y registros de un manifiesto.Uninstalls all publishers and logs from a manifest. Para obtener más información acerca de los manifiestos de eventos y el uso de este parámetro, vea el SDK del registro de eventos de Windows en el sitio web de Microsoft Developers Network (MSDN) (https://msdn.microsoft.com).For more information about event manifests and using this parameter, see the Windows Event Log SDK at the Microsoft Developers Network (MSDN) Web site (https://msdn.microsoft.com).
{qe | Query-Events} <ruta de acceso > [/LF:<logfile >] [/SQ:<Structquery >] [/q:<Query >] [/BM:<marcador >] [/SBM:<Savebm >] [/RD:<direction >] [/f:<>] [/l:<configuración regional >] [/c:<Count >] [/e:<elemento >]{qe | query-events} <Path> [/lf:<Logfile>] [/sq:<Structquery>] [/q:<Query>] [/bm:<Bookmark>] [/sbm:<Savebm>] [/rd:<Direction>] [/f:<Format>] [/l:<Locale>] [/c:<Count>] [/e:<Element>] Lee eventos de un registro de eventos, de un archivo de registro o mediante una consulta estructurada.Reads events from an event log, from a log file, or using a structured query. De forma predeterminada, se proporciona un nombre de registro para <ruta de acceso >.By default, you provide a log name for <Path>. Sin embargo, si usa la opción /LF , <ruta de acceso > debe ser una ruta de acceso a un archivo de registro.However, if you use the /lf option, then <Path> must be a path to a log file. Si usa el parámetro /sq , <ruta de acceso > debe ser una ruta de acceso a un archivo que contenga una consulta estructurada.If you use the /sq parameter, <Path> must be a path to a file that contains a structured query.
{Gli | Get-loginfo} <logname > [/LF:<logfile >]{gli | get-loginfo} <Logname> [/lf:<Logfile>] Muestra información de estado sobre un registro de eventos o un archivo de registro.Displays status information about an event log or log file. Si se usa la opción /LF , <logname > es una ruta de acceso a un archivo de registro.If the /lf option is used, <Logname> is a path to a log file. Puede ejecutar wevtutil el para obtener una lista de nombres de registro.You can run wevtutil el to obtain a list of log names.
{EPL | Export-log} <path > <Exportfile > [/LF:<logfile >] [/SQ:<Structquery >] [/q:<consulta >] [/OW:<sobrescribir >]{epl | export-log} <Path> <Exportfile> [/lf:<Logfile>] [/sq:<Structquery>] [/q:<Query>] [/ow:<Overwrite>] Exporta eventos desde un registro de eventos, desde un archivo de registro o mediante una consulta estructurada al archivo especificado.Exports events from an event log, from a log file, or using a structured query to the specified file. De forma predeterminada, se proporciona un nombre de registro para <ruta de acceso >.By default, you provide a log name for <Path>. Sin embargo, si usa la opción /LF , <ruta de acceso > debe ser una ruta de acceso a un archivo de registro.However, if you use the /lf option, then <Path> must be a path to a log file. Si usa la opción /sq , <ruta de acceso > debe ser una ruta de acceso a un archivo que contenga una consulta estructurada.If you use the /sq option, <Path> must be a path to a file that contains a structured query. <Exportfile > es una ruta de acceso al archivo en el que se almacenarán los eventos exportados.<Exportfile> is a path to the file where the exported events will be stored.
{al | Archive-Log} <LogPath > [/l:<configuración regional >]{al | archive-log} <Logpath> [/l:<Locale>] Archiva el archivo de registro especificado en un formato independiente.Archives the specified log file in a self-contained format. Se crea un subdirectorio con el nombre de la configuración regional y toda la información específica de la configuración regional se guarda en ese subdirectorio.A subdirectory with the name of the locale is created and all locale-specific information is saved in that subdirectory. Después de crear el directorio y el archivo de registro mediante la ejecución de wevtutil al, se pueden leer los eventos del archivo si el publicador está instalado o no.After the directory and log file are created by running wevtutil al, events in the file can be read whether the publisher is installed or not.
{CL | Clear-log} <logname > [/bu:<backup >]{cl | clear-log} <Logname> [/bu:<Backup>] Borra los eventos del registro de eventos especificado.Clears events from the specified event log. La opción /bu se puede usar para realizar una copia de seguridad de los eventos borrados.The /bu option can be used to back up the cleared events.

OpcionesOptions

OpciónOption DescripciónDescription
/f:<formato >/f:<Format> Especifica que la salida debe ser un formato XML o de texto.Specifies that the output should be either XML or text format. Si <formato > es XML, el resultado se muestra en formato XML.If <Format> is XML, the output is displayed in XML format. Si <formato > es texto, el resultado se muestra sin etiquetas XML.If <Format> is Text, the output is displayed without XML tags. El valor predeterminado es Text.The default is Text.
/e:<habilitada >/e:<Enabled> Habilita o deshabilita un registro.Enables or disables a log. <habilitada > puede ser true o false.<Enabled> can be true or false.
/i:<aislamiento >/i:<Isolation> Establece el modo de aislamiento del registro.Sets the log isolation mode. <> de aislamiento pueden ser sistema, aplicación o personalizado.<Isolation> can be system, application or custom. El modo de aislamiento de un registro determina si un registro comparte una sesión con otros registros en la misma clase de aislamiento.The isolation mode of a log determines whether a log shares a session with other logs in the same isolation class. Si especifica el aislamiento del sistema, el registro de destino compartirá al menos permisos de escritura con el registro del sistema.If you specify system isolation, the target log will share at least write permissions with the System log. Si especifica el aislamiento de la aplicación, el registro de destino compartirá al menos permisos de escritura con el registro de aplicaciones.If you specify application isolation, the target log will share at least write permissions with the Application log. Si especifica el aislamiento personalizado, también debe proporcionar un descriptor de seguridad mediante la opción /CA .If you specify custom isolation, you must also provide a security descriptor by using the /ca option.
/LFN:<LogPath >/lfn:<Logpath> Define el nombre del archivo de registro.Defines the log file name. <LogPath > es una ruta de acceso completa al archivo donde el servicio registro de eventos almacena los eventos para este registro.<Logpath> is a full path to the file where the Event Log service stores events for this log.
/RT: > de retención de</rt:<Retention> Establece el modo de retención del registro.Sets the log retention mode. <> de retención puede ser true o false.<Retention> can be true or false. El modo de retención de registros Determina el comportamiento del servicio registro de eventos cuando un registro alcanza su tamaño máximo.The log retention mode determines the behavior of the Event Log service when a log reaches its maximum size. Si un registro de eventos alcanza su tamaño máximo y el modo de retención del registro es true, se conservan los eventos existentes y se descartan los eventos entrantes.If an event log reaches its maximum size and the log retention mode is true, existing events are retained and incoming events are discarded. Si el modo de retención del registro es false, los eventos de entrada sobrescriben los eventos más antiguos del registro.If the log retention mode is false, incoming events overwrite the oldest events in the log.
/AB:<> automática/ab:<Auto> Especifica la Directiva de copia de seguridad automática de registros.Specifies the log auto-backup policy. <> automático puede ser true o false.<Auto> can be true or false. Si este valor es true, se realizará una copia de seguridad del registro automáticamente cuando alcance el tamaño máximo.If this value is true, the log will be backed up automatically when it reaches the maximum size. Si este valor es true, la retención (especificada con la opción /RT ) también debe establecerse en true.If this value is true, the retention (specified with the /rt option) must also be set to true.
/MS:<MaxSize >/ms:<MaxSize> Establece el tamaño máximo del registro en bytes.Sets the maximum size of the log in bytes. El tamaño mínimo del registro es 1048576 bytes (1024 KB) y los archivos de registro son siempre múltiplos de 64 KB, por lo que el valor que especifique se redondeará en consecuencia.The minimum log size is 1048576 bytes (1024KB) and log files are always multiples of 64KB, so the value you enter will be rounded off accordingly.
/l: nivel de<>/l:<Level> Define el filtro de nivel del registro.Defines the level filter of the log. el nivel de <> puede ser cualquier valor de nivel válido.<Level> can be any valid level value. Esta opción solo es aplicable a los registros con una sesión dedicada.This option is only applicable to logs with a dedicated session. Puede quitar un filtro de nivel estableciendo en 0.You can remove a level filter by setting to 0.
/k:<palabras clave >/k:<Keywords> Especifica el filtro de palabras clave del registro.Specifies the keywords filter of the log. <palabras clave > puede ser cualquier máscara de palabra clave de 64 bits válida.<Keywords> can be any valid 64 bit keyword mask. Esta opción solo es aplicable a los registros con una sesión dedicada.This option is only applicable to logs with a dedicated session.
/CA: > de canal de</ca:<Channel> Establece el permiso de acceso para un registro de eventos.Sets the access permission for an event log. <canal > es un descriptor de seguridad que utiliza el lenguaje de definición de descriptores de seguridad (SDDL).<Channel> is a security descriptor that uses the Security Descriptor Definition Language (SDDL). Para obtener más información acerca del formato SDDL, vea el sitio web de Microsoft Developers Network (MSDN) (https://msdn.microsoft.com).For more information about SDDL format, see the Microsoft Developers Network (MSDN) Web site (https://msdn.microsoft.com).
/c:<Config >/c:<Config> Especifica la ruta de acceso a un archivo de configuración.Specifies the path to a configuration file. Esta opción hará que se lean las propiedades de registro del archivo de configuración definido en <> de configuración.This option will cause log properties to be read from the configuration file defined in <Config>. Si utiliza esta opción, no debe especificar un parámetro .If you use this option, you must not specify a parameter. El nombre del registro se leerá desde el archivo de configuración.The log name will be read from the configuration file.
/GE:<metadatos >/ge:<Metadata> Obtiene información de metadatos para los eventos que puede generar este publicador.Gets metadata information for events that can be raised by this publisher. <> de metadatos pueden ser true o false.<Metadata> can be true or false.
/GM:<> de mensajes/gm:<Message> Muestra el mensaje real en lugar del identificador de mensaje numérico.Displays the actual message instead of the numeric message ID. <mensaje > puede ser true o false.<Message> can be true or false.
/LF:<logfile >/lf:<Logfile> Especifica que los eventos se deben leer desde un registro o desde un archivo de registro.Specifies that the events should be read from a log or from a log file. <archivo de registro > puede ser true o false.<Logfile> can be true or false. Si es true, el parámetro del comando es la ruta de acceso a un archivo de registro.If true, the parameter to the command is the path to a log file.
/SQ:<Structquery >/sq:<Structquery> Especifica que los eventos se deben obtener con una consulta estructurada.Specifies that events should be obtained with a structured query. <Structquery > puede ser true o false.<Structquery> can be true or false. Si es true, es la ruta de acceso a un archivo que contiene una consulta estructurada.If true, is the path to a file that contains a structured query.
/q:<> de consultas/q:<Query> Define la consulta XPath para filtrar los eventos que se leen o exportan.Defines the XPath query to filter the events that are read or exported. Si no se especifica esta opción, se devolverán o exportarán todos los eventos.If this option is not specified, all events will be returned or exported. Esta opción no está disponible cuando /sq es true.This option is not available when /sq is true.
/BM:<marcador >/bm:<Bookmark> Especifica la ruta de acceso a un archivo que contiene un marcador de una consulta anterior.Specifies the path to a file that contains a bookmark from a previous query.
/SBM:<Savebm >/sbm:<Savebm> Especifica la ruta de acceso a un archivo que se usa para guardar un marcador de esta consulta.Specifies the path to a file that is used to save a bookmark of this query. La extensión de nombre de archivo debe ser. Xml.The file name extension should be .xml.
/RD: dirección de<>/rd:<Direction> Especifica la dirección en la que se leen los eventos.Specifies the direction in which events are read. <Dirección > puede ser true o false.<Direction> can be true or false. Si es true, primero se devuelven los eventos más recientes.If true, the most recent events are returned first.
/l:<configuración regional >/l:<Locale> Define una cadena de configuración regional que se usa para imprimir el texto de un evento en una configuración regional específica.Defines a locale string that is used to print event text in a specific locale. Solo está disponible cuando se imprimen eventos en formato de texto mediante la opción /f .Only available when printing events in text format using the /f option.
/c:<recuento >/c:<Count> Establece el número máximo de eventos que se van a leer.Sets the maximum number of events to read.
/e:<elemento >/e:<Element> Incluye un elemento raíz al mostrar los eventos en XML.Includes a root element when displaying events in XML. <elemento > es la cadena que desea incluir en el elemento raíz.<Element> is the string that you want within the root element. Por ejemplo, /e: root daría como resultado XML que contiene el par de elementos raíz <> raíz.For example, /e:root would result in XML that contains the root element pair <root>.
/OW:<sobrescribir >/ow:<Overwrite> Especifica que se debe sobrescribir el archivo de exportación.Specifies that the export file should be overwritten. <sobrescribir > puede ser true o false.<Overwrite> can be true or false. Si es true y el archivo de exportación especificado en ya existe, se sobrescribirá sin confirmación.If true, and the export file specified in already exists, it will be overwritten without confirmation.
/BU:<> de copia de seguridad/bu:<Backup> Especifica la ruta de acceso a un archivo en el que se almacenarán los eventos borrados.Specifies the path to a file where the cleared events will be stored. Incluya la extensión. evtx en el nombre del archivo de copia de seguridad.Include the .evtx extension in the name of the backup file.
/r:<> remoto/r:<Remote> Ejecuta el comando en un equipo remoto.Runs the command on a remote computer. <> remoto es el nombre del equipo remoto.<Remote> is the name of the remote computer. Los parámetros im y Um no admiten la operación remota.The im and um parameters do not support remote operation.
/u:<nombre de usuario >/u:<Username> Especifica un usuario diferente para iniciar sesión en un equipo remoto.Specifies a different user to log on to a remote computer. <nombre de usuario > es un nombre de usuario con el formato dominio\usuario o usuario.<Username> is a user name in the form domain\user or user. Esta opción solo es aplicable cuando se especifica la opción /r .This option is only applicable when the /r option is specified.
/p:<contraseña >/p:<Password> Especifica la contraseña del usuario.Specifies the password for the user. Si se usa la opción /u y no se especifica esta opción o <contraseña > es " ", se le pedirá al usuario que escriba una contraseña. Esta opción solo es aplicable cuando se especifica la opción **/u*.If the /u option is used and this option is not specified or <Password> is "", the user will be prompted to enter a password. This option is only applicable when the **/u* option is specified.
/a:<> de autenticación/a:<Auth> Define el tipo de autenticación para conectarse a un equipo remoto.Defines the authentication type for connecting to a remote computer. <auth > puede ser default, Negotiate, Kerberos o NTLM.<Auth> can be Default, Negotiate, Kerberos or NTLM. El valor predeterminado es Negotiate.The default is Negotiate.
/UNI:<> Unicode/uni:<Unicode> Muestra la salida en Unicode.Displays the output in Unicode. <> Unicode puede ser true o false.<Unicode> can be true or false. Si es true, el resultado se encuentra en Unicode.If is true then the output is in Unicode.

ObservacionesRemarks

  • Usar un archivo de configuración con el parámetro SLUsing a configuration file with the sl parameter

    El archivo de configuración es un archivo XML con el mismo formato que la salida de wevtutil GL <logname >/f: XML.The configuration file is an XML file with the same format as the output of wevtutil gl <Logname> /f:xml. En el ejemplo siguiente se muestra el formato de un archivo de configuración que habilita la retención, habilita la copia de seguridad automática y establece el tamaño máximo del registro en el registro de la aplicación:The following example shows the format of a configuration file that enables retention, enables autobackup, and sets the maximum log size on the Application log:

    <?xml version="1.0" encoding="UTF-8"?>
    <channel name="Application" isolation="Application"
    xmlns="https://schemas.microsoft.com/win/2004/08/events">
    <logging>
    <retention>true</retention>
    <autoBackup>true</autoBackup>
    <maxSize>9000000</maxSize>
    </logging>
    <publishing>
    </publishing>
    </channel>
    

ExampleExamples

Enumerar los nombres de todos los registros:List the names of all logs:

wevtutil el

Mostrar información de configuración sobre el registro del sistema en el equipo local en formato XML:Display configuration information about the System log on the local computer in XML format:

wevtutil gl System /f:xml

Use un archivo de configuración para establecer los atributos del registro de eventos (consulte la sección Comentarios para obtener un ejemplo de un archivo de configuración):Use a configuration file to set event log attributes (see Remarks for an example of a configuration file):

wevtutil sl /c:config.xml

Mostrar información sobre el publicador de eventos Microsoft-Windows-EventLog, incluidos los metadatos acerca de los eventos que el publicador puede generar:Display information about the Microsoft-Windows-Eventlog event publisher, including metadata about the events that the publisher can raise:

wevtutil gp Microsoft-Windows-Eventlog /ge:true

Instale los publicadores y registros del archivo de manifiesto de manifest. xml:Install publishers and logs from the myManifest.xml manifest file:

wevtutil im myManifest.xml

Desinstale publicadores y registros del archivo de manifiesto de manifest. xml:Uninstall publishers and logs from the myManifest.xml manifest file:

wevtutil um myManifest.xml

Muestre los tres eventos más recientes del registro de aplicaciones en formato de texto:Display the three most recent events from the Application log in textual format:

wevtutil qe Application /c:3 /rd:true /f:text

Mostrar el estado del registro de la aplicación:Display the status of the Application log:

wevtutil gli Application 

Exportar eventos del registro del sistema a C:\backup\system0506.evtx:Export events from System log to C:\backup\system0506.evtx:

wevtutil epl System C:\backup\system0506.evtx

Borre todos los eventos del registro de aplicaciones después de guardarlos en C:\admin\backups\a10306.evtx:Clear all of the events from the Application log after saving them to C:\admin\backups\a10306.evtx:

wevtutil cl Application /bu:C:\admin\backups\a10306.evtx

Referencias adicionalesAdditional References

Clave de sintaxis de línea de comandosCommand-Line Syntax Key