Cómo usar el Visor de eventos para diagnosticar fallos de aplicaciones en Windows 11

Última actualización: 13/05/2026
Autor: Isaac
  • El Visor de eventos actúa como la "caja negra" de Windows 11, registrando errores, advertencias e información del sistema y aplicaciones.
  • Filtrar por nivel, origen, intervalo de tiempo e ID de evento permite centrarse en los fallos que causan cuelgues, reinicios o cierres de programas.
  • Los registros específicos de Microsoft Defender y otros servicios avanzados aportan detalles sobre conectividad, telemetría y seguridad del dispositivo.
  • Crear vistas personalizadas y exportar registros facilita el diagnóstico continuo y el soporte técnico cuando los problemas persisten.

Visor de eventos en Windows 11

Cuando tu ordenador con Windows 11 empieza a congelarse, reiniciarse solo o lanzar errores raros en los juegos o aplicaciones, lo normal es reiniciar y cruzar los dedos. Pero Windows guarda mucha más información de la que parece sobre lo que está pasando por debajo de la superficie, y si sabes dónde mirar puedes acercarte bastante a la causa real del problema sin ser un gurú de sistemas.

Ese «diario secreto» del sistema es el Visor de eventos. A primera vista puede intimidar por la cantidad de mensajes técnicos, códigos de error e identificadores, pero en realidad es una herramienta muy potente para averiguar por qué se cuelga un juego como Fortnite, qué provoca un reinicio inesperado o de dónde salen esos errores repetidos de Microsoft Defender, red o hardware. Vamos a verlo con calma, paso a paso y con ejemplos pensados para Windows 11.

Qué es exactamente el Visor de eventos en Windows 11

Herramienta visor de eventos Windows 11

El Visor de eventos es una consola donde Windows 11 va registrando prácticamente todo lo que ocurre en el sistema: arranques y apagados, errores de programas, problemas de hardware, avisos de seguridad, incidencias de red, servicios que se inician o se detienen, etc. Es como la caja negra de un avión, pero aplicada a tu PC.

Cada vez que pasa algo relevante, Windows genera un «evento» y lo almacena en uno o varios registros. Esos eventos incluyen fecha y hora, origen del problema, nivel de gravedad, un identificador numérico (ID de evento) y una descripción más o menos detallada. Con esa información puedes reconstruir qué ocurrió justo antes de un cuelgue o reinicio.

Además del propio sistema operativo, también escriben en el Visor de eventos aplicaciones concretas y servicios de Windows. Por ejemplo, Microsoft Defender para punto de conexión (el componente avanzado de seguridad empresarial) va dejando una gran cantidad de eventos con códigos, estados de incorporación (onboarding/offboarding), fallos de conexión con los servidores de Microsoft, problemas de telemetría, etc.

Aunque muchos de estos eventos parecen pensados para técnicos o administradores de sistemas, también son útiles para un usuario doméstico que quiere saber si sus reinicios aleatorios o pantallazos están relacionados con fallos de drivers, errores de energía, disco duro, memoria o servicios que no arrancan bien.

Cómo abrir el Visor de eventos en Windows 11

Acceder al Visor de eventos en Windows 11 es muy sencillo, aunque la interfaz luego sea algo densa. Tienes varias formas de abrirlo, pero la más rápida suele ser esta:

1) Pulsa la combinación de teclas Windows + R para abrir el cuadro «Ejecutar».

2) Escribe eventvwr.msc y pulsa Enter. Tras unos segundos se abrirá la consola.

3) Verás una ventana dividida en tres paneles: a la izquierda el árbol de registros, en el centro la lista de eventos y a la derecha las acciones disponibles (crear vistas, filtrar, guardar, etc.).

Si lo prefieres, también puedes buscar «Visor de eventos» en el menú Inicio o llegar a él desde las Herramientas de Windows (en el menú de aplicaciones, ordenadas alfabéticamente). Otra ruta clásica es ir al Panel de control, entrar en Sistema y seguridad y, dentro, localizar el acceso al Visor de eventos.

eventos windows 11
Related article:
Filtrar eventos críticos, advertencias y errores con Get-WinEvent

Cómo se organiza la información en el Visor de eventos

En el panel izquierdo verás que todo está organizado en forma de árbol. Hay dos grandes bloques que te interesa conocer, porque ahí es donde vas a buscar los errores relacionados con cuelgues y fallos de aplicaciones:

Registros de Windows: es la parte «clásica» que existe desde las primeras versiones de Windows NT. Aquí están los registros más habituales:

  • Aplicación: eventos generados por programas instalados y componentes de usuario (por ejemplo, errores al cerrarse una app).
  • Seguridad: auditoría de inicios de sesión, accesos denegados, cambios de permisos, etc.
  • Sistema: avisos y errores del propio sistema operativo, controladores, hardware, servicios de Windows, reinicios inesperados, fallos de energía, etc.
  • Instalación: sucesos relacionados con la instalación y mantenimiento de Windows.
  • Eventos reenviados: registros recibidos desde otros equipos de la red (en entornos corporativos).

Registros de aplicaciones y servicios: aquí se organizan los eventos de componentes y aplicaciones concretas usando la tecnología ETW (Event Tracing for Windows). Encontrarás, por ejemplo, registros específicos de Microsoft Defender, PowerShell, servicios de red, navegadores y otras características avanzadas.

Esta parte es especialmente útil si quieres diagnosticar fallos de un componente concreto, como puede ser Microsoft Defender para punto de conexión, porque cada proveedor tiene su propio registro con mensajes muy detallados sobre lo que le pasa.

Niveles de gravedad: qué significan Información, Advertencia, Error y Crítico

Cada registro que ves en el panel central viene etiquetado con un nivel de importancia. Esto te ayuda a separar el ruido de lo realmente serio:

  • Información: eventos normales que indican que todo ha ido bien (por ejemplo, «El servicio X se inició correctamente»).
  • Advertencia: algo no ha ido del todo fino, pero el sistema ha podido continuar. No suele implicar un fallo directo, aunque puede anticiparlo.
  • Error: un problema que ha provocado el fallo de una aplicación o servicio, aunque Windows sigue funcionando.
  • Crítico: fallos graves que suelen estar detrás de reinicios inesperados, apagados bruscos o pérdidas de datos.
  Guía completa para abrir varias instancias de una misma aplicación en Windows 11

Lo normal es que veas un montón de advertencias y algunos errores sueltos incluso en un PC sano. No te asustes por ver muchos mensajes: lo que interesa es identificar patrones, eventos que coincidan en el tiempo con tus cuelgues o reinicios, y sobre todo los eventos críticos y errores repetidos.

Cómo usar el Visor de eventos para investigar cuelgues y reinicios

Imaginemos tu caso: de vez en cuando el PC se bloquea, se reinicia solo y entra en un bucle de «Intentando reparar Windows» que al final te deja entrar. A veces pasa jugando a Fortnite y otras veces estando en el escritorio sin hacer nada. Para investigar, lo más directo es tirar del registro Sistema.

1) En el panel izquierdo, despliega Registros de Windows y pulsa en Sistema.

2) En el panel central verás una lista larguísima. Ordena por la columna Fecha y hora y ve a la franja en la que recuerdas que se produjo el cuelgue o reinicio.

3) Fíjate en los eventos marcados como Crítico o Error. Uno muy típico cuando hay cortes bruscos es el evento crítico de Kernel-Power, que indica que el sistema no se apagó correctamente (puede ser por fallo eléctrico, cuelgue, pulsación forzada del botón, etc.).

4) Haz doble clic en el evento que te interese para ver los detalles: origen, ID de evento, descripción y, si cambias a la pestaña Detalles, información más técnica.

Con el ID de evento y el origen puedes buscar en Internet (o en la documentación de Microsoft) explicaciones más precisas y posibles soluciones. Por ejemplo, un error de un controlador de vídeo puede relacionarse con cuelgues al jugar; un fallo del disco puede explicar reinicios aleatorios o el bucle de reparación.

Diagnosticar fallos de aplicaciones con el registro de Aplicación

Cuando lo que se te cierra es una aplicación concreta (un juego, un navegador, un programa de edición, etc.), suele dejar rastro en el registro Aplicación. El proceso es parecido:

1) En el panel izquierdo, haz clic en Registros de Windows > Aplicación.

2) Localiza en la línea de tiempo el momento de la caída del programa y filtra mentalmente por nivel Error.

3) Abre el evento y revisa el origen y el ID de evento. En muchos cierres de aplicaciones verás orígenes como «Application Error» o el nombre de la propia app, junto al módulo que ha fallado (una DLL concreta o el ejecutable principal).

Con esa información puedes afinar mucho más: reinstalar el programa, actualizar drivers relacionados (por ejemplo, gráficos si es un juego), revisar conflictos con antivirus, etc. Si el mismo ID de evento de «Application Error» se repite una y otra vez con el mismo módulo, tienes una pista clara de dónde mirar.

Centrarse sólo en lo importante: filtrar y crear vistas personalizadas

El gran problema del Visor de eventos es que hay demasiada información. Por eso conviene aprovechar las funciones de filtro y las vistas personalizadas, que te permiten quedarte sólo con lo que te interesa para ese problema concreto.

Para filtrar directamente un registro (por ejemplo, Sistema):

  • Selecciona Sistema en el árbol de la izquierda.
  • En el panel derecho, haz clic en Filtrar registro actual….

Se abre una ventana con varias opciones muy útiles:

Intervalo de tiempo: en la parte superior puedes limitar la búsqueda a las últimas horas, días o establecer un intervalo personalizado con fecha y hora de inicio y fin. Perfecto para centrarte sólo en el rango donde tu PC se ha colgado o reiniciado.

Nivel del evento: puedes marcar sólo Crítico y Error si lo que quieres es encontrar fallos graves que expliquen inestabilidad del sistema, ignorando información y advertencias menores.

Por registro u origen: es posible filtrar por dónde se encuentra el evento (Aplicación, Sistema, etc.) o por la fuente concreta que lo genera (por ejemplo, el spooler de impresión, un servicio de red, un componente de seguridad, etc.). Al elegir un origen se ajusta automáticamente el campo de registro correspondiente.

ID de evento: aquí puedes ser muy fino. Puedes:

  • Introducir un solo identificador (ejemplo: 4625 para intentos de inicio de sesión fallidos en Seguridad).
  • Escribir varios IDs separados por comas (por ejemplo: 4624, 4625).
  • Usar rangos (por ejemplo: 4650-4655).
  • Mezclar todo lo anterior (por ejemplo: 4698, 4700-4702, 4650-4655).
  • Excluir un ID dentro de un rango usando un guion delante (por ejemplo: 4698-4702, -4699).

También puedes filtrar por categoría de tarea, palabras clave o por usuarios y equipos concretos, lo que es útil en entornos donde varias personas usan la misma máquina o en escenarios de red.

Si has definido un filtro útil (por ejemplo, todos los errores críticos de inicio de sesión, o todos los errores de un servicio concreto), puedes guardarlo como una Vista personalizada para reutilizarlo cuando quieras:

  • Con el filtro aplicado, ve al panel derecho y elige Guardar filtro como vista personalizada….
  • Dale un nombre y una descripción (por ejemplo, «Errores de inicio»).
  • Elige en qué carpeta quieres guardarlo (dentro de Vistas personalizadas) y si quieres que esté disponible para todos los usuarios o sólo para el actual.
  Cómo actualizar Chrome a la última versión en Windows 11

A partir de ahí, en el panel izquierdo, bajo Vistas personalizadas, tendrás tu filtro listo. Al seleccionarlo, el panel central mostrará los eventos que cumplan esas condiciones, actualizados con los sucesos más recientes.

Eventos de Microsoft Defender para punto de conexión: qué cuentan y cuándo preocuparse

Dentro de los registros de aplicaciones y servicios, uno de los proveedores más «charlatanes» es Microsoft Defender para punto de conexión (Defender for Endpoint), la solución avanzada de seguridad que se usa sobre todo en entornos empresariales. Genera un montón de eventos muy específicos que pueden parecer alarmantes, pero muchos son simplemente informativos.

Por ejemplo, hay eventos que indican el inicio y apagado del servicio (a menudo asociados al arranque o apagado del sistema), y que dejan claro que no hace falta hacer nada. Otros confirman que el servicio se ha conectado correctamente a los servidores de procesamiento externos en una determinada dirección URL, o avisan de que no se ha podido establecer la conexión y recomiendan revisar el proxy y la conectividad a Internet.

También encontrarás sucesos relacionados con la incorporación (onboarding) y retirada (offboarding) del dispositivo: mensajes que dicen que el equipo no está incorporado y no reporta al portal, que no se pudieron leer los parámetros de incorporación, que ha fallado el cambio de tipo de inicio del servicio, o que la incorporación se ha completado correctamente y el dispositivo aparecerá en el portal tras unas horas.

Muchos de estos eventos sugieren revisar que la configuración de incorporación y los scripts se han aplicado bien, volver a desplegar los paquetes de configuración o comprobar que el paquete de retirada no ha caducado. Son indicaciones dirigidas a administradores que gestionan muchos equipos, pero a nivel de usuario sirven para saber si el servicio de seguridad está funcionando como debe.

Hay un buen número de eventos que señalan problemas con Experiencias del usuario y telemetría asociadas (el servicio diagtrack de Windows): fallos de registro o anulación de registro, imposibilidad de iniciar el servicio, cambios en el tipo de inicio, etc. Suelen indicar que la telemetría (los datos de diagnóstico y seguridad que se envían a Microsoft) no está fluyendo correctamente desde esa máquina. Las recomendaciones típicas pasan por asegurarse de que el servicio de datos de diagnóstico está habilitado y por revisar los registros específicos de UniversalTelemetryClient.

Conectividad, cuota de datos y estado de red o batería en Defender

Otro grupo interesante de eventos de Defender for Endpoint tiene que ver con la conectividad de red y la gestión de cuotas de datos. Por ejemplo:

  • Eventos que indican que la conexión de red es de tipo medido o de pago, por lo que el sensor se conecta con menos frecuencia al servidor.
  • Mensajes que señalan que la conexión ha vuelto a la normalidad, sin ser medida, y la frecuencia de contacto con el servidor se restablece.
  • Eventos que detectan que la batería está baja y el dispositivo reduce la frecuencia de conexión, o que la batería vuelve a un estado normal y se retoma el ritmo habitual.
  • Alertas de que un módulo está a punto de superar su cuota diaria de datos, o que ya se ha superado y se detiene temporalmente el envío de telemetría hasta que pase el periodo de cuota.

Estos registros son, en su mayoría, puramente informativos. Indican que el sistema está adaptando el comportamiento del sensor de Defender para ahorrar datos o batería, o para respetar las cuotas de información cibernética que se pueden enviar en un periodo determinado.

Tampoco faltan los eventos que describen la gestión de configuraciones en la nube: recepción de archivos de configuración válidos, errores al aplicar nuevas configuraciones, uso de la última configuración válida conocida, vuelta a la configuración predeterminada si no se puede usar nada más, o carga de la configuración desde el almacenamiento persistente al arrancar el servicio. Sólo cuando ves que el sistema insiste en que no puede aplicar ninguna configuración ni descargar una nueva y te recomienda contactar con soporte, hay motivos para profundizar.

Servicios externos, ETW y controladores: cuando los fallos son más técnicos

En el registro de Defender aparecen también muchos eventos muy técnicos sobre servicios externos, sesiones ETW (Event Tracing for Windows) y controladores del sistema. Por ejemplo:

  • Errores al registrar o iniciar sesiones de seguimiento de eventos, con códigos de error que apuntan a falta de recursos o a que hay demasiadas sesiones ETW activas.
  • Intentos de agregar proveedores a una sesión de eventos que fallan, lo que implica que ciertos eventos no se notificarán.
  • Problemas para crear o eliminar registradores ETW seguros, que muchas veces se intentan resolver reiniciando el equipo.
  • Fallos al cargar el minifiltro de sistema de archivos MsSecFlt.sys, algo crítico para ciertas funciones de seguridad, y que suele requerir soporte técnico si persiste.
  • Eventos que informan de cambios en el tipo de inicio de servicios externos, intentos de arrancarlos de nuevo si están parados, o imposibilidad de ajustarlos al tipo de inicio esperado.
  Cómo instalar Node.js y gestionar entornos en Windows 11

También hay mensajes asociados a la herramienta de captura de instantáneas de la máquina con fines forenses, al arranque y finalización de ejecutables internos como senseCE y SenseNdr (detección y respuesta de red), o a errores al desencadenar estos ejecutables. Normalmente, si el propio evento dice que basta con reiniciar el equipo y ver si el problema se repite, no hace falta obsesionarse.

Cuando la cosa se pone fea, los eventos lo dicen claramente: no se ha podido iniciar el servicio, no se puede cargar el archivo DLL MsSense, problemas con módulos DLL, errores en actualizaciones de plataforma, imposibilidad de quitar filtros de WFP durante el offboarding, etc. En estos casos, si además notas que el equipo no reporta correctamente o no se comporta bien a nivel de seguridad, lo razonable es escalar a soporte técnico especializado.

Autenticación, claves y CSP: eventos de configuración avanzada

Otro bloque numeroso en los eventos de Defender for Endpoint está relacionado con la autenticación y la gestión de claves criptográficas. Encontrarás, entre otros, sucesos del estilo:

  • «El servicio no pudo generar la clave» o «no pudo abrir la clave» con un código de error concreto.
  • «No se pudo conservar el estado de autenticación» o «no se pudo quitar el estado de autenticación persistente».
  • Eventos que confirman que el registro en el servicio de autenticación se ha completado correctamente, o que la generación de claves criptográficas ha sido satisfactoria.
  • Notificaciones de que no se puede comunicar con el servicio de autenticación, de que una solicitud ha sido rechazada con determinados códigos HTTP o de que no se pudo firmar el mensaje de autenticación.

Ligado a esto verás eventos que explican por qué se ha suspendido temporalmente la carga de telemetría cibernética (por ejemplo, por un token inválido o caducado) y otros que indican que, una vez actualizado el token, la carga se reanuda correctamente.

Más abajo, en la parte de CSP (Configuration Service Provider), aparecen un montón de eventos con IDs del estilo 1800, 1801, etc., que describen operaciones de lectura y escritura de valores de configuración: obtener y establecer valores de nodos, estado de incorporación, últimas conexiones con el servicio, frecuencia de informes de telemetría, identificadores de grupo, parámetros de etiquetado de dispositivos, valores de uso compartido de ejemplos, etc.

Muchos de estos mensajes son sólo informativos y señalan que un Get o un Set se ha completado correctamente. Otros avisan de errores al obtener un valor, al establecerlo por estar fuera de rango o por superar límites de longitud (por ejemplo, cuando el grupo de etiquetado de dispositivos excede el máximo permitido). En ese caso, suelen recomendar revisar la configuración o contactar con soporte si el problema persiste.

Buenas prácticas al usar el Visor de eventos para diagnosticar fallos

Con toda esta avalancha de información es fácil perderse, así que conviene seguir unas cuantas pautas sensatas para convertir el Visor de eventos en tu aliado en vez de en una fuente de ansiedad:

  • No te alarmes por ver muchos errores o advertencias: es perfectamente normal. Lo importante es fijarse en lo que coincide en el tiempo con tus problemas reales (cuelgues, reinicios, cierres de apps).
  • Usa los filtros y las vistas personalizadas: así puedes concentrarte en eventos críticos y de error, en un rango de fechas concreto o en un origen (servicio, driver, aplicación) determinado.
  • Ten siempre a mano el ID de evento y el origen: son tu llave para buscar soluciones en la documentación oficial de Microsoft o en foros técnicos. Dos logs con textos distintos pueden ser en realidad el mismo tipo de fallo si comparten ID y origen.
  • Exporta los registros cuando necesites ayuda: el Visor permite guardar eventos en archivos que puedes enviar a un técnico, a soporte empresarial o incluso revisar en otro equipo con más calma.

Y si, después de revisar, sigues teniendo reinicios, arranques y apagados muy lentos o errores constantes sin una causa clara, siempre queda la opción de hacer un inicio limpio (deshabilitando servicios y programas de terceros desde msconfig para ver si algo en segundo plano está causando conflictos) o incluso plantearte una instalación limpia de Windows 11 tras hacer copia de seguridad de tus datos, para descartar por completo problemas a nivel de software.

El Visor de eventos no es magia, pero usado con cabeza te permite pasar de «el PC va raro» a tener una idea bastante concreta de qué componente, servicio o aplicación está fallando, en qué momento y con qué códigos de error. Con esa información ya no vas a ciegas: puedes buscar soluciones bien enfocadas, pedir ayuda aportando datos útiles y, sobre todo, entender mucho mejor qué está ocurriendo en tu Windows 11 cuando algo se tuerce.