WevtUtil.exe es una utilidad de línea de comandos en el sistema operativo Windows, que se utiliza principalmente para registrar su proveedor en la computadora. La herramienta se coloca en la carpeta %windir%\System32. Este comando está limitado a los miembros del grupo Administradores y debe ejecutarse con privilegios elevados. En esta publicación, discutimos cómo usar esta herramienta integrada en computadoras con Windows 11 o Windows 10.
¿Qué es C System32 WevtUtil exe?
El proceso conocido como Eventos de Windows La utilidad de línea de comandos es nativa del sistema operativo Windows de Microsoft. El archivo wevtutil.exe se encuentra en la carpeta C:\Windows\System32. El tamaño del archivo en Windows 11/10 es de 171 008 bytes. WevtUtil.exe es un archivo central del sistema de Windows.
¿Qué es WevtUtil y cómo se usa?
El comando WevtUtil.exe le permite recuperar información sobre registros de eventos y publicadores.. Puede usar el comando para obtener información de metadatos sobre el proveedor, sus eventos y los canales en los que registra eventos, y para consultar eventos de un canal o archivo de registro.
Los usuarios de PC pueden ejecutar el comando WevtUtil para lo siguiente:
Recuperar información sobre registros de eventos y editores.Archivar registros en un formato independiente.Enumerar los registros disponibles.Instalar y desinstalar manifiestos de eventos.Ejecutar consultas.Exportar eventos (desde un registro de eventos, desde un registro o mediante una consulta estructurada) a un archivo especificado. Borrar registros de eventos.
Para obtener información de uso, ingrese wevtutil/? en un símbolo del sistema.
Uso del comando WevtUtil
Echemos un vistazo al uso básico del comando WevtUtil en el sistema Windows 11/10.
Presione Tecla de Windows + R, escriba cmd y presione Entrar para abrir el símbolo del sistema. Alternativamente, abra Windows Terminal y seleccione el perfil del símbolo del sistema. En el indicador de CMD, ejecute los siguientes comandos para las tareas correspondientes.
Nota: La mayoría de las opciones para WevtUtil no distinguen entre mayúsculas y minúsculas, pero la ayuda integrada sí lo es. debe solicitarse en MAYÚSCULAS. Para recuperar datos de registros de eventos, el cmdlet Get-WinEvent de PowerShell es más fácil de usar y más flexible.
Enumerar los nombres de todos los registros:wevtutil elMostrar información de configuración sobre el registro del sistema en la computadora local en formato XML:wevtutil gl System/f:xmlUtilice un archivo de configuración para establecer los atributos del registro de eventos (consulte Comentarios para ver un ejemplo de un archivo de configuración):wevtutil sl/c:config.xmlMostrar información sobre el editor de eventos de Microsoft-Windows-Eventlog, incluidos los metadatos sobre los eventos que el editor puede generar:wevtutil gp Microsoft-Windows-Eventlog/ge:trueInstalar editores y registros del archivo de manifiesto myManifest.xml:wevtutil im myManifest.xmlDesinstalar editores y registros del archivo de manifiesto myManifest.xml:wevtutil um myManifest.xmlMostrar los tres los eventos más recientes del registro de la aplicación en formato de texto:wevtutil qe Application/c:3/rd:true/f:t extMostrar el estado del registro de la aplicación:wevtutil gli ApplicationExportar eventos del registro del sistema a C:\backup\system0506.evtx:wevtutil epl System C:\backup\system0506.evtxBorrar todos los eventos del registro de la aplicación después de guardarlos en C:\admin\backups\a10306.evtx:wevtutil cl Application/bu:C:\admin\backups\a10306.evtxBorrar todos los eventos del registro de la aplicación: wevtutil clear-log Application@echo off for/f”tokens=*”%%G in (‘wevtutil.exe el’) do (wevtutil.exe cl”%%G”)Exportar eventos del registro del sistema a C:\backup\ss64.evtx:wevtutil export-log System C:\backup\ss64.evtxEnumerar los editores de eventos en el equipo actual:wevtutil enum-publishersDesinstalar editores y registros del archivo de manifiesto SS64.man:wevtutil uninstall-manifest SS64.manHabilitar registros de eventos para el Programador de tareas:wevtutil set-log”Microsoft-Windows-TaskScheduler/Operational”/e:true >null 2>&1Muestre los 50 eventos más recientes del registro de la aplicación en formato de texto:wevtutil qe Application/c:50/rd:true/f:textEncuentre el últimos 20 eventos de inicio en el registro del sistema: wevtutil query-events System/count:20/rd:true/format:text/q:”Event[System[(EventID=12)]]”
The El comando WevtUtil.exe puede controlar casi todos los aspectos del Visor de eventos y los Registros, lo que requiere una gran cantidad de parámetros y conmutadores para controlar estos detalles. Para ver la estructura principal de la sintaxis de WevtUtil.exe y obtener más información sobre esta herramienta nativa, consulte el Documentación de Microsoft.
¡Espero que encuentre esta publicación lo suficientemente informativa!
¿Cómo uso los registros de Windows?
Para acceder al Visor de eventos en Windows 11, Windows 10 y Server, haga lo siguiente:
Haga clic con el botón derecho en el botón Inicio. Seleccione Panel de control > Sistema y Seguridad. Haga doble clic en Herramientas administrativas. Haga doble clic en Visor de eventos. Seleccione el tipo de registros que desea revisar (p. ej., Aplicación, Sistema).
¿Qué muestran los registros del sistema?
En una computadora con Windows 11/10, el registro del sistema (Syslog) contiene un registro de los eventos del sistema operativo (SO) que indica cómo se cargaron los procesos del sistema y los controladores.. El Syslog muestra eventos informativos, de error y de advertencia relacionados con el sistema operativo de la computadora.
¿Puedo eliminar archivos de registro?
De manera predeterminada, DB no elimina los archivos de registro por usted. Por esta razón, los archivos de registro de la base de datos eventualmente crecerán hasta consumir una cantidad innecesariamente grande de espacio en disco. Para protegerse contra esto, debe tomar medidas administrativas periódicamente para eliminar los archivos de registro que su aplicación ya no usa. Puede eliminar archivos de registro de nivel de aplicación a través de Vista del sistema > Propiedades de la base de datos > Vista empresarial. Expanda el tipo de aplicación de planificación y la aplicación que contiene los archivos de registro que desea eliminar. Haga clic derecho en la aplicación y seleccione Eliminar registro.