Permite exportar a un archivo eventos de un registro, un archivo de registro o mediante una consulta estructurada. Uso: wevtutil ...

Permite exportar a un archivo eventos de un registro, un archivo de registro
o mediante una consulta estructurada.

Uso:

wevtutil { epl | export-log }   
  [/OPCIÓN:VALOR [/OPCIÓN:VALOR] ...]


De manera predeterminada, se debe proporcionar un nombre de registro para
RUTA. No obstante, si se usa la opción /lf, se debe proporcionar 
la ruta de acceso a un archivo de registro para el valor RUTA. Si se usa 
el parámetro /sq, se debe proporcionar la ruta de acceso a un archivo que
contenga una consulta estructurada.


Ruta de acceso al archivo que va a almacenar los eventos exportados.

Opciones:

Puede usar la versión corta (por ejemplo, /l) o larga (por ejemplo, /locale) de
los nombres de opciones. Las opciones y sus valores no distinguen mayúsculas de
minúsculas.

/{lf | logfile}:[true|false]
Si es true,  es la ruta de acceso de un archivo de registro.

/{sq | structuredquery}:[true|false]
Si es true,  es la ruta de acceso a un archivo que contiene una consulta
estructurada. Si se seleccionan muchos eventos (no todos), este comando puede
tardar considerablemente.

/{q | query}:VALOR
VALOR es una consulta XPath para filtrar los eventos que desea exportar. Si no
se especifica, se devolverán todos los eventos. Esta opción no está disponible
cuando /sq  es true. Si se seleccionan muchos eventos (no todos), este comando
puede tardar considerablemente.

/{ow | overwrite}:[true|false]
Si es true, y el archivo de destino especificado en  ya
existe, se sobrescribirá sin pedir confirmación.

Ejemplo:

El siguiente ejemplo exporta eventos del registro del sistema a
C:\backup\system0506.evtx.

wevtutil epl System C:\backup\system0506.evtx