wevtutil
Permite recuperar información acerca de los registros de eventos y los editores. También puede utilizar este comando para instalar y desinstalar los manifiestos de eventos, ejecutar consultas, y exportar, archivar y borrar registros.
Sintaxis
wevtutil [{el | enum-logs}] [{gl | get-log} <Logname> [/f:<Format>]]
[{sl | set-log} <Logname> [/e:<Enabled>] [/i:<Isolation>] [/lfn:<Logpath>] [/rt:<Retention>] [/ab:<Auto>] [/ms:<MaxSize>] [/l:<Level>] [/k:<Keywords>] [/ca:<Channel>] [/c:<Config>]]
[{ep | enum-publishers}]
[{gp | get-publisher} <Publishername> [/ge:<Metadata>] [/gm:<Message>] [/f:<Format>]]
[{im | install-manifest} <Manifest>] [/rf:<Path>] [/mf:<Path>] [/pf:<Path>]
[{um | uninstall-manifest} <Manifest>] [{qe | query-events} <Path> [/lf:<Logfile>] [/sq:<Structquery>] [/q:<Query>] [/bm:<Bookmark>] [/sbm:<Savebm>] [/rd:<Direction>] [/f:<Format>] [/l:<Locale>] [/c:<Count>] [/e:<Element>]]
[{gli | get-loginfo} <Logname> [/lf:<Logfile>]]
[{epl | export-log} <Path> <Exportfile> [/lf:<Logfile>] [/sq:<Structquery>] [/q:<Query>] [/ow:<Overwrite>]]
[{al | archive-log} <Logpath> [/l:<Locale>]]
[{cl | clear-log} <Logname> [/bu:<Backup>]] [/r:<Remote>] [/u:<Username>] [/p:<Password>] [/a:<Auth>] [/uni:<Unicode>]
Parámetros
Parámetro | Descripción |
---|---|
{el | enum-logs} | Muestra los nombres de todos los registros. |
{gl | get-log} <Logname> [/f:<Format>] | Muestra información de configuración para el registro especificado, que incluye si el registro está habilitado o no, el límite de tamaño máximo actual del registro y la ruta de acceso al archivo donde se almacena el registro. |
{sl | set-log} <Logname> [/e:<Enabled>] [/i:<Isolation>] [/lfn:<Logpath>] [/rt:<Retention>] [/ab:<Auto>] [/ms:<MaxSize>] [/l:<Level>] [/k:<Keywords>] [/ca:<Channel>] [/c:<Config>] | Modifica la configuración del registro especificado. |
{ep | enum-publishers} | Muestra los publicadores de eventos en el equipo local. |
{gp | get-publisher} <Publishername> [/ge:<Metadata>] [/gm:<Message>] [/f:<Format>]] | Muestra la información de configuración del publicador de eventos especificado. |
{im | install-manifest} <Manifest> [/{rf | resourceFilePath}:value] [/{mf | messageFilePath}:value] [/{pf | parameterFilePath}:value] |
Instala publicadores de eventos y registros desde un manifiesto. Para más información sobre los manifiestos de eventos y el uso de este parámetro, consulte el SDK de registro de eventos de Windows en el sitio web de Microsoft Developers Network (MSDN) (https://msdn.microsoft.com). El valor es la ruta de acceso completa al archivo mencionado. |
{um | uninstall-manifest} <Manifest> | Desinstala todos los publicadores y registros de un manifiesto. Para más información sobre los manifiestos de eventos y el uso de este parámetro, consulte el SDK de registro de eventos de Windows en el sitio web de Microsoft Developers Network (MSDN) (https://msdn.microsoft.com). |
{qe | query-events} <Path> [/lf:<Logfile>] [/sq:<Structquery>] [/q:<Query>] [/bm:<Bookmark>] [/sbm:<Savebm>] [/rd:<Direction>] [/f:<Format>] [/l:<Locale>] [/c:<Count>] [/e:<Element>] | Lee eventos de un registro de eventos, de un archivo de registro o mediante una consulta estructurada. De forma predeterminada, se proporciona un nombre de registro para <Path>. Sin embargo, si usa la opción /lf, <Path> debe ser una ruta de acceso a un archivo de registro. Si usa el parámetro /sq, <Path> debe ser una ruta de acceso a un archivo que contenga una consulta estructurada. |
{gli | get-loginfo} <Logname> [/lf:<Logfile>] | Muestra información de estado sobre un registro de eventos o un archivo de registro. Si se usa la opción /lf, <Logname> es una ruta de acceso a un archivo de registro. Puede ejecutar wevtutil el para obtener una lista de nombres de registro. |
{epl | export-log} <Path><Exportfile> [/lf:<Logfile>] [/sq:<Structquery>] [/q:<Query>] [/ow:<Overwrite>] | Exporta eventos desde un registro de eventos, desde un archivo de registro o mediante una consulta estructurada al archivo especificado. De forma predeterminada, se proporciona un nombre de registro para <Path>. Sin embargo, si usa la opción /lf, <Path> debe ser una ruta de acceso a un archivo de registro. Si usa la opción /sq, <Path> debe ser una ruta de acceso a un archivo que contenga una consulta estructurada. <Exportfile> es una ruta de acceso al archivo donde se almacenarán los eventos exportados. |
{al | archive-log} <Logpath> [/l:<Locale>] | Guarda el archivo de registro especificado en un formato independiente. Se crea un subdirectorio con el nombre de la configuración regional y toda la información específica de la configuración regional se guarda en ese subdirectorio. Después de crear el directorio y el archivo de registro mediante la ejecución de wevtutil al, los eventos del archivo se pueden leer si el publicador está instalado o no. |
{cl | clear-log} <Logname> [/bu:<Backup>] | Borra los eventos del registro de eventos especificado. Se puede usar la opción /bu para hacer una copia de seguridad de los eventos borrados. |
Opciones
Opción | Descripción |
---|---|
/f:<Format> | Especifica que la salida debe ser XML o un formato de texto. Si <Format> es XML, la salida se muestra en formato XML. Si <Format> es Text, la salida se muestra sin etiquetas XML. El valor predeterminado es texto. |
/e:<Enabled> | Habilita o deshabilita un registro. <Enabled> puede ser true o false. |
/i:<Isolation> | Establece el modo de aislamiento de registro. <Isolation> puede ser sistema, aplicación o personalizado. El modo de aislamiento de un registro determina si un registro comparte una sesión con otros registros en la misma clase de aislamiento. Si especifica el aislamiento del sistema, el registro de destino compartirá al menos permisos de escritura con el registro del sistema. Si especifica el aislamiento de la aplicación, el registro de destino compartirá al menos permisos de escritura con el registro de aplicaciones. Si especifica aislamiento personalizado, también debe proporcionar un descriptor de seguridad mediante la opción /ca. |
/lfn:<Logpath> | Define el nombre del archivo de registro. <Logpath> es una ruta de acceso completa al archivo donde el servicio de registro de eventos almacena los eventos de este registro. |
/rt:<Retention> | Establece el modo de retención del registro. <Retention> puede ser true o false. El modo de retención del registro determina el comportamiento del servicio de registro de eventos cuando un registro alcanza su tamaño máximo. Si un registro de eventos alcanza su tamaño máximo y el modo de retención del registro es true, se conservan los eventos existentes y se descartan los eventos entrantes. Si el modo de retención del registro es false, los eventos entrantes sobrescriben los eventos más antiguos del registro. |
/ab:<Auto> | Especifica la directiva de copia de seguridad automática del registro. <Auto> puede ser true o false. Si este valor es true, se realizará una copia de seguridad del registro automáticamente cuando alcance el tamaño máximo. Si este valor es true, la retención (especificada con la opción /rt) también debe establecerse en true. |
/ms:<MaxSize> | Tamaño máximo del archivo de registro en bytes. El tamaño mínimo del registro es 1048576 bytes (1024 KB) y los archivos de registro siempre son múltiplos de 64 KB, por lo que el valor que escriba se redondeará según corresponda. |
/l:<Level> | Define el filtro de nivel del registro. <Level> puede ser cualquier valor de nivel válido. Esta opción solo se aplica a los registros con una sesión dedicada. Puede quitar un filtro de nivel estableciendo <Level> en 0. |
/k:<Keywords> | Especifica el filtro de palabras clave del registro. <Keywords> puede ser cualquier máscara de palabra clave de 64 bits válida. Esta opción solo se aplica a los registros con una sesión dedicada. |
/ca:<Channel> | Establece el permiso de acceso para un registro de eventos. <Channel> es un descriptor de seguridad que usa el lenguaje de definición de descriptor de seguridad (SDDL). Para más información sobre el formato SDDL, consulte el sitio web de Microsoft Developers Network (MSDN) (https://msdn.microsoft.com). |
/c:<Config> | Especifica la ruta de acceso a un archivo de configuración. Esta opción hará que las propiedades del registro se lean desde el archivo de configuración definido en <Config>. Si usa esta opción, no debe especificar un parámetro <Logname>. El nombre del registro se leerá del archivo de configuración. |
/ge:<Metadata> | Obtiene información de metadatos para los eventos que puede generar este publicador. <Metadata> puede ser true o false. |
/gm:<Message> | Muestra el mensaje real en lugar del identificador de mensaje numérico. <Message> puede ser true o false. |
/lf:<Logfile> | Especifica que los eventos se deben leer de un registro o de un archivo de registro. <Logfile> puede ser true o false. Si es true, el parámetro para el comando es la ruta de acceso a un archivo de registro. |
/sq:<Structquery> | Especifica que los eventos se deben obtener con una consulta estructurada. <Structquery> puede ser true o false. Si es true, <Path> es la ruta de acceso a un archivo que contiene una consulta estructurada. |
/q:<Query> | Define la consulta XPath para filtrar los eventos que se leen o exportan. Si no se especifica esta opción, se devolverán o exportarán todos los eventos. Esta opción no está disponible cuando /sq es true. |
/bm:<Bookmark> | Especifica la ruta de acceso a un archivo que contiene un marcador de una consulta anterior. |
/sbm:<Savebm> | Especifica la ruta de acceso a un archivo que se usa para guardar un marcador de esta consulta. La extensión de nombre de archivo debe ser .xml. |
/rd:<Direction> | Especifica la dirección en la que se leen los eventos. <Direction> puede ser true o false. Si es true, primero se devuelven los eventos más recientes. |
/l:<Locale> | Define una cadena de configuración regional que se usa para imprimir el texto del evento en una configuración regional específica. Solo está disponible al imprimir eventos en formato de texto mediante la opción /f. |
/c:<Count> | Establece el número máximo de eventos que se van a leer. |
/e:<Element> | Incluye un elemento raíz al mostrar eventos en XML. <Element> es la cadena que desea dentro del elemento raíz. Por ejemplo, /e:root daría como resultado XML que contiene la <raíz> del par de elementos raíz. |
/ow:<Overwrite> | Especifica que se debe sobrescribir el archivo de exportación. <Overwrite> puede ser true o false. Si es true y el archivo de exportación especificado en <Exportfile> ya existe, se sobrescribirá sin confirmación. |
/bu:<Backup> | Especifica la ruta de acceso a un archivo donde se almacenarán los eventos borrados. Incluya la extensión .evtx en el nombre del archivo de copia de seguridad. |
/r:<Remote> | Ejecuta el comando en un equipo remoto. <Remote> es el nombre del equipo remoto. Los parámetros im y um no admiten la operación remota. |
/u:<Username> | Especifica un usuario diferente para iniciar sesión en un equipo remoto. <Username> es el nombre de usuario de forma dominio\usuario o usuario. Esta opción solo es válida cuando se especifica la opción /r. |
/p:<Password> | Especifica la contraseña del usuario. Si se usa la opción /u y esta opción no se especifica o <Password> es *, se pedirá al usuario que escriba una contraseña. Esta opción solo es válida cuando se especifica la opción /u. |
/a:<Auth> | Define el tipo de autenticación para conectarse a un equipo remoto. <Auth> puede ser Default, Negotiate, Kerberos o NTLM. El valor predeterminado es Negotiate. |
/uni:<Unicode> | Muestra la salida en Unicode. <Unicode> puede ser true o false. Si <Unicode> es true, la salida se encuentra en Unicode. |
Comentarios
Uso de un archivo de configuración con el parámetro sl
El archivo de configuración es un archivo XML con el mismo formato que la salida de wevtutil gl <Logname> /f:xml. Para mostrar el formato de un archivo de configuración que habilita la retención, habilita la copia de seguridad automática y establece el tamaño máximo del registro en el registro de aplicación:
<?xml version=1.0 encoding=UTF-8?> <channel name=Application isolation=Application xmlns=https://schemas.microsoft.com/win/2004/08/events> <logging> <retention>true</retention> <autoBackup>true</autoBackup> <maxSize>9000000</maxSize> </logging> <publishing> </publishing> </channel>
Ejemplos
Enumere los nombres de todos los registros:
wevtutil el
Muestra información de configuración sobre el registro del sistema en el equipo local en formato XML:
wevtutil gl System /f:xml
Use un archivo de configuración para establecer atributos de registro de eventos (consulte los comentarios para obtener un ejemplo de un archivo de configuración):
wevtutil sl /c:config.xml
Muestra información sobre el publicador de eventos Microsoft-Windows-Eventlog, incluidos los metadatos sobre los eventos que el publicador puede generar:
wevtutil gp Microsoft-Windows-Eventlog /ge:true
Instale publicadores y registros desde el archivo de manifiesto de myManifest.xml:
wevtutil im myManifest.xml
Desinstale publicadores y registros del archivo de manifiesto de myManifest.xml:
wevtutil um myManifest.xml
Muestre los tres eventos más recientes del registro de aplicación en formato de texto:
wevtutil qe Application /c:3 /rd:true /f:text
Muestre el estado del registro de aplicación:
wevtutil gli Application
Exporte los eventos del registro del sistema a C:\backup\system0506.evtx:
wevtutil epl System C:\backup\system0506.evtx
Borre todos los eventos del registro de aplicaciones después de guardarlos en C:\admin\backups\a10306.evtx:
wevtutil cl Application /bu:C:\admin\backups\a10306.evtx
Archive el archivo de registro especificado (.evtx) en un formato independiente. Se crea un subdirectorio (LocaleMetaData) y toda la información específica de la configuración regional se guarda en ese subdirectorio:
wevtutil archive-log "C:\backup\Application.evtx" /locale:en-us