Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Permite recuperar información sobre los registros de eventos y los publicadores. También puede usar este comando para instalar y desinstalar manifiestos de eventos, ejecutar consultas y exportar, archivar y borrar registros.
Syntax
wevtutil [{el | enum-logs}] [{gl | get-log} <Logname> [/f:<Format>]]
[{sl | set-log} <Logname> [/e:<Enabled>] [/i:<Isolation>] [/lfn:<Logpath>] [/rt:<Retention>] [/ab:<Auto>] [/ms:<MaxSize>] [/l:<Level>] [/k:<Keywords>] [/ca:<Channel>] [/c:<Config>]]
[{ep | enum-publishers}]
[{gp | get-publisher} <Publishername> [/ge:<Metadata>] [/gm:<Message>] [/f:<Format>]]
[{im | install-manifest} <Manifest>] [/rf:<Path>] [/mf:<Path>] [/pf:<Path>]
[{um | uninstall-manifest} <Manifest>] [{qe | query-events} <Path> [/lf:<Logfile>] [/sq:<Structquery>] [/q:<Query>] [/bm:<Bookmark>] [/sbm:<Savebm>] [/rd:<Direction>] [/f:<Format>] [/l:<Locale>] [/c:<Count>] [/e:<Element>]]
[{gli | get-loginfo} <Logname> [/lf:<Logfile>]]
[{epl | export-log} <Path> <Exportfile> [/lf:<Logfile>] [/sq:<Structquery>] [/q:<Query>] [/ow:<Overwrite>]]
[{al | archive-log} <Logpath> [/l:<Locale>]]
[{cl | clear-log} <Logname> [/bu:<Backup>]] [/r:<Remote>] [/u:<Username>] [/p:<Password>] [/a:<Auth>] [/uni:<Unicode>]
Parameters
| Parameter | Description |
|---|---|
| {el | enum-logs} | Muestra los nombres de todos los registros. |
| {gl | get-log} <Nombre del> registro [/f:<Formato>] | Muestra información de configuración para el registro especificado, que incluye si el registro está habilitado o no, el límite de tamaño máximo actual del registro y la ruta de acceso al archivo donde se almacena el registro. |
| {sl | set-log} <Logname> [/e:<Enabled>] [/i:Isolation<] [/lfn:>Logpath<] [/rt:>Retention<] [/ab:>Auto<] [/ms:>MaxSize<] [/l:><Level>] [/k:<Keywords>] [/ca:<Channel>] [/c:<Config>] | Modifica la configuración del registro especificado. |
| {ep | editores-enumeración} | Muestra los publicadores de eventos en el equipo local. |
| {gp | get-publisher} <Nombre del editor> : [/ge:<Metadatos>], [/gm:<Mensaje>], [/f:<Formato>]] | Muestra la información de configuración del publicador de eventos especificado. |
| {im | install-manifest} <Manifiesto> [/{rf | resourceFilePath}:valor] [/{mf | messageFilePath}:valor] [/{pf | parameterFilePath}:valor] |
Instala publicadores de eventos y registros desde un manifiesto. Para obtener más información sobre los manifiestos de eventos y el uso de este parámetro, consulte el SDK de registro de eventos de Windows en el sitio web de Microsoft Developers Network (MSDN) (https://msdn.microsoft.com). El valor es la ruta completa al archivo mencionado. |
| {mmm | uninstall-manifest} <Manifiesto> | Desinstala todos los publicadores y registros de un manifiesto. Para obtener más información sobre los manifiestos de eventos y el uso de este parámetro, consulte el SDK de registro de eventos de Windows en el sitio web de Microsoft Developers Network (MSDN) (https://msdn.microsoft.com). |
| {qe | query-events} <Ruta> de acceso [/lf:<Logfile>] [/sq:<Structquery>] [/q:<Query>] [/bm:<Bookmark>] [/sbm:<Savebm>] [/rd:<Direction>] [/f:<Format>] [/l:<Locale>] [/c:<Count>] [/e:<Element>] | Lee eventos de un registro de eventos, de un archivo de registro o mediante una consulta estructurada. De forma predeterminada, se proporciona un nombre de registro para <Path>. Sin embargo, si usa la opción /lf , <Path> debe ser una ruta de acceso a un archivo de registro. Si usa el parámetro /sq , <Path> debe ser una ruta de acceso a un archivo que contenga una consulta estructurada. |
| {gli | get-loginfo} <Nombre de> registro [/lf:<Archivo de> registro] | Muestra información de estado sobre un registro de eventos o un archivo de registro. Si se usa la opción /lf , <Logname> es una ruta de acceso a un archivo de registro. Puede ejecutar wevtutil el para obtener una lista de nombres de registro. |
| {epl | export-log} <Archivo de exportación> de ruta<>de acceso [/lf:<Logfile>] [/sq:<Structquery>] [/q:<Query>] [/ow:<Overwrite>] | Exporta eventos desde un registro de eventos, desde un archivo de registro o mediante una consulta estructurada al archivo especificado. De forma predeterminada, se proporciona un nombre de registro para <Path>. Sin embargo, si usa la opción /lf , <Path> debe ser una ruta de acceso a un archivo de registro. Si usa la opción /sq , <Path> debe ser una ruta de acceso a un archivo que contenga una consulta estructurada. <Exportfile> es una ruta de acceso al archivo donde se almacenarán los eventos exportados. |
| {al | archive-log} <Ruta de> registro [/l:<Locale>] | Archiva el archivo de registro especificado en un formato independiente. Se crea un subdirectorio con el nombre de la configuración regional y toda la información específica de la configuración regional se guarda en ese subdirectorio. Después de crear el directorio y el archivo de registro ejecutando wevtutil al, los eventos en el archivo se pueden leer ya sea que el editor esté instalado o no. |
| {cl | borrar-registro} <Nombre> de registro [/bu:<Copia de seguridad>] | Borra los eventos del registro de eventos especificado. La opción /bu se puede usar para realizar una copia de seguridad de los eventos borrados. |
Options
| Option | Description |
|---|---|
| /f:<Formato> | Especifica que la salida debe ser XML o formato de texto. Si <Format> es XML, la salida se muestra en formato XML. Si <Format> es Text, la salida se muestra sin etiquetas XML. El valor predeterminado es Text. |
| /e:<Habilitado> | Habilita o deshabilita un registro. <Enabled> puede ser true o false. |
| /i:<Aislamiento> | Establece el modo de aislamiento de registro. <El aislamiento> puede ser sistema, aplicación o personalizado. El modo de aislamiento de un registro determina si un registro comparte una sesión con otros registros en la misma clase de aislamiento. Si especifica el aislamiento del sistema, el registro de destino compartirá al menos permisos de escritura con el registro del sistema. Si especifica el aislamiento de la aplicación, el registro de destino compartirá al menos permisos de escritura con el registro de aplicación. Si especifica un aislamiento personalizado, también debe proporcionar un descriptor de seguridad mediante la opción /ca . |
| /lfn:<Ruta de registro> | Define el nombre del archivo de registro. <Logpath> es una ruta de acceso completa al archivo donde el servicio registro de eventos almacena eventos para este registro. |
| /rt:<Retención> | Establece el modo de retención del registro. <La retención> puede ser true o false. El modo de retención de registros determina el comportamiento del servicio registro de eventos cuando un registro alcanza su tamaño máximo. Si un registro de eventos alcanza su tamaño máximo y el modo de retención del registro es true, se conservan los eventos existentes y se descartan los eventos entrantes. Si el modo de retención del registro es false, los eventos entrantes sobrescriben los eventos más antiguos del registro. |
| /ab:<Auto> | Especifica la directiva de copia de seguridad automática del registro. <Auto> puede ser true o false. Si este valor es true, se realizará una copia de seguridad del registro automáticamente cuando alcance el tamaño máximo. Si este valor es true, la retención (especificada con la opción /rt ) también debe establecerse en true. |
| /ms:<MaxSize> | Establece el tamaño máximo del registro en bytes. El tamaño mínimo del registro es 1048576 bytes (1024 KB) y los archivos de registro siempre son múltiplos de 64 KB, por lo que el valor que escriba se redondeará en consecuencia. |
| /l:<Nivel> | Define el filtro de nivel del registro. <Level> puede ser cualquier valor de nivel válido. Esta opción solo es aplicable a los registros con una sesión dedicada. Puede quitar un filtro de nivel estableciendo <Nivel> en 0. |
| /k:<Palabras clave> | Especifica el filtro de palabras clave del registro. <Las palabras clave pueden ser cualquier máscara de palabra clave> de 64 bits válida. Esta opción solo es aplicable a los registros con una sesión dedicada. |
| /ca:<Canal> | Establece el permiso de acceso para un registro de eventos. <Channel> es un descriptor de seguridad que usa el lenguaje de definición de descriptor de seguridad (SDDL). Para obtener más información sobre el formato SDDL, consulte el sitio web de Microsoft Developers Network (MSDN) (https://msdn.microsoft.com). |
| /c:<Configuración> | Especifica la ruta de acceso a un archivo de configuración. Esta opción hará que las propiedades del registro se lean desde el archivo de configuración definido en <Config>. Si usa esta opción, no debe especificar un <parámetro Logname> . El nombre del registro se leerá del archivo de configuración. |
| /ge:<Metadatos> | Obtiene información de metadatos para los eventos que puede generar este publicador. <Los metadatos> pueden ser true o false. |
| /gm:<Mensaje> | Muestra el mensaje real en lugar del identificador numérico del mensaje. <El mensaje> puede ser true o false. |
| /lf:<Archivo de registro> | Especifica que los eventos deben leerse desde un registro o desde un archivo de registro. <El archivo> de registro puede ser true o false. Si es true, el parámetro del comando es la ruta de acceso a un archivo de registro. |
| /sq:<Structquery> | Especifica que los eventos se deben obtener con una consulta estructurada. <Structquery> puede ser true o false. Si es true, <Path> es la ruta de acceso a un archivo que contiene una consulta estructurada. |
| /q:<Consulta> | Define la consulta XPath para filtrar los eventos que se leen o exportan. Si no se especifica esta opción, se devolverán o exportarán todos los eventos. Esta opción no está disponible cuando /sq es true. |
| /bm:<Marcador> | Especifica la ruta de acceso a un archivo que contiene un marcador de una consulta anterior. |
| /sbm:<Guardarbm> | Especifica la ruta de acceso a un archivo que se usa para guardar un marcador de esta consulta. La extensión de nombre de archivo debe ser .xml. |
| /rd:<Dirección> | Especifica la dirección en la que se leen los eventos. <La dirección> puede ser true o false. Si es true, primero se devuelven los eventos más recientes. |
| /l:<Configuración regional> | Define una cadena de configuración regional que se usa para imprimir texto de evento en una configuración regional específica. Solo disponible cuando se imprimen eventos en formato de texto usando la opción /f . |
| /c:<Recuento> | Establece el número máximo de eventos que se van a leer. |
| /e:<Elemento> | Incluye un elemento raíz al mostrar eventos en XML. <Element> es la cadena que desea dentro del elemento raíz. Por ejemplo, /e:root daría como resultado XML que contiene el par <de elementos raíz raíz></raíz>. |
| /ow:<Sobrescribir> | Especifica que se debe sobrescribir el archivo de exportación. <La sobrescritura> puede ser true o false. Si es true y el archivo de exportación especificado en <Exportfile> ya existe, se sobrescribirá sin confirmación. |
| /bu:<Copia de seguridad> | Especifica la ruta de acceso a un archivo donde se almacenarán los eventos borrados. Incluya la extensión .evtx en el nombre del archivo de copia de seguridad. |
| /r:<Remoto> | Ejecuta el comando en un equipo remoto. <Remote> es el nombre del equipo remoto. Los parámetros im y mmm no admiten la operación remota. |
| /u:<Nombre de usuario> | Especifica un usuario diferente para iniciar sesión en un equipo remoto. <El nombre de> usuario es un nombre de usuario en el formulario dominio\usuario o usuario. Esta opción solo es aplicable cuando se especifica la opción /r . |
| /p:<Contraseña> | Especifica la contraseña del usuario. Si se usa la opción /u y no se especifica esta opción o <la contraseña> es *, se le pedirá al usuario que escriba una contraseña. Esta opción solo se aplica cuando se especifica la opción /u . |
| /a:<Autenticación> | Define el tipo de autenticación para conectarse a un equipo remoto. <La autenticación> puede ser Default, Negotiate, Kerberos o NTLM. El valor predeterminado es Negotiate. |
| /uni:<Unicode> | Muestra la salida en Unicode. <Unicode> puede ser true o false. Si <Unicode> es true, la salida se encuentra en Unicode. |
Remarks
Uso de un archivo de configuración con el parámetro sl
El archivo de configuración es un archivo XML con el mismo formato que la salida de wevtutil gl <Logname> /f:xml. Para mostrar el formato de un archivo de configuración que habilita la retención, habilita la copia de seguridad automática y establece el tamaño máximo del registro en el registro de aplicación:
<?xml version=1.0 encoding=UTF-8?> <channel name=Application isolation=Application xmlns=https://schemas.microsoft.com/win/2004/08/events> <logging> <retention>true</retention> <autoBackup>true</autoBackup> <maxSize>9000000</maxSize> </logging> <publishing> </publishing> </channel>
Examples
Enumere los nombres de todos los registros:
wevtutil el
Muestra información de configuración sobre el inicio de sesión del sistema en el equipo local en formato XML:
wevtutil gl System /f:xml
Use un archivo de configuración para establecer atributos de registro de eventos (vea Comentarios para ver un ejemplo de un archivo de configuración):
wevtutil sl /c:config.xml
Muestra información sobre el publicador de eventos de Microsoft-Windows-Eventlog, incluidos los metadatos sobre los eventos que el publicador puede generar:
wevtutil gp Microsoft-Windows-Eventlog /ge:true
Instale publicadores y registros desde el archivo de manifiesto de myManifest.xml:
wevtutil im myManifest.xml
Desinstale publicadores y registros del archivo de manifiesto de myManifest.xml:
wevtutil um myManifest.xml
Muestra los tres eventos más recientes del registro de aplicaciones en formato de texto:
wevtutil qe Application /c:3 /rd:true /f:text
Muestra el estado del registro de la aplicación:
wevtutil gli Application
Exporte eventos del registro del sistema a C:\backup\system0506.evtx:
wevtutil epl System C:\backup\system0506.evtx
Borre todos los eventos del registro de aplicación después de guardarlos en C:\admin\backups\a10306.evtx:
wevtutil cl Application /bu:C:\admin\backups\a10306.evtx
Archive el archivo de registro especificado (.evtx) en un formato independiente. Se crea un subdirectorio (LocaleMetaData) y toda la información específica de la configuración regional se guarda en ese subdirectorio:
wevtutil archive-log "C:\backup\Application.evtx" /locale:en-us