Eu suspeito que o problema aqui é que você não está usando a opção / so que normalmente permitiria que você especificasse uma fonte de eventos.
Como você não está usando esse parâmetro, o utilitário assume como padrão "EventCreate" como a origem do evento. Isso significa que o utilitário precisará registrar a origem "EventCreate" no registro, algo que exigiria permissões elevadas. Um usuário que está criando o evento provavelmente não terá essas permissões necessárias.
Você já tentou executá-lo na mesma máquina que um administrador e depois executá-lo novamente como usuário? Eu acho que isso funcionaria.
Como alternativa, eu também tentaria especificar uma fonte de evento, por exemplo, "Seu aplicativo" e ficar com isso. A fonte de evento "EventCreate" é muito genérica e eu não a usaria.
Por fim, recomendo esses artigos do blog para entender como o registro no log de eventos funciona: