wecutil
Ermöglicht ihnen das Erstellen und Verwalten von Abonnements für Ereignisse, die von Remotecomputern weitergeleitet werden. Der Remotecomputer muss das WS-Management-Protokoll unterstützen.
Wichtig
Wenn Sie beim Versuch wecutil auszuführen die Meldung „Der RPC-Server ist nicht verfügbar“ erhalten, müssen Sie den Windows-Ereignissammlerdienst (wecsvc) starten. Geben Sie zum Starten von wecsvc an einer Eingabeaufforderung mit erhöhten Rechten net start wecsvc ein.
Syntax
wecutil [{es | enum-subscription}] [{gs | get-subscription} <Subid> [/f:<Format>] [/uni:<Unicode>]] [{gr | get-subscriptionruntimestatus} <Subid> [<Eventsource> …]] [{ss | set-subscription} [<Subid> [/e:[<Subenabled>]] [/esa:<Address>] [/ese:[<Srcenabled>]] [/aes] [/res] [/un:<Username>] [/up:<Password>] [/d:<Desc>] [/uri:<Uri>] [/cm:<Configmode>] [/ex:<Expires>] [/q:<Query>] [/dia:<Dialect>] [/tn:<Transportname>] [/tp:<Transportport>] [/dm:<Deliverymode>] [/dmi:<Deliverymax>] [/dmlt:<Deliverytime>] [/hi:<Heartbeat>] [/cf:<Content>] [/l:<Locale>] [/ree:[<Readexist>]] [/lf:<Logfile>] [/pn:<Publishername>] [/essp:<Enableport>] [/hn:<Hostname>] [/ct:<Type>]] [/c:<Configfile> [/cun:<Username> /cup:<Password>]]] [{cs | create-subscription} <Configfile> [/cun:<Username> /cup:<Password>]] [{ds | delete-subscription} <Subid>] [{rs | retry-subscription} <Subid> [<Eventsource>…]] [{qc | quick-config} [/q:[<quiet>]]]
Parameter
| Parameter | BESCHREIBUNG |
|---|---|
{es | enum-subscription} |
Zeigt die Namen aller vorhandenen Remoteereignisabonnements an. |
{gs | get-subscription} <Subid> [/f:<Format>] [/uni:<Unicode>] |
Zeigt Remoteabonnementkonfigurationsinformationen an. <Subid> ist eine Zeichenfolge, die ein Abonnement eindeutig identifiziert. Sie entspricht der Zeichenfolge, die im Tag <SubscriptionId> der XML-Konfigurationsdatei angegeben wurde, die zum Erstellen des Abonnements verwendet wurde. |
{gr | get-subscriptionruntimestatus} <Subid> [<Eventsource> …] |
Zeigt den Laufzeitstatus eines Abonnements an. <Subid> ist eine Zeichenfolge, die ein Abonnement eindeutig identifiziert. Sie entspricht der Zeichenfolge, die im Tag <SubscriptionId> der XML-Konfigurationsdatei angegeben wurde, die zum Erstellen des Abonnements verwendet wurde. <Eventsource> ist eine Zeichenfolge, die einen Computer identifiziert, der als Quelle von Ereignissen dient. Es sollte sich um einen vollqualifizierten Domänennamen, einen NetBIOS-Namen oder eine IP-Adresse handeln. |
{ss | set-subscription} <Subid> [/e:[<Subenabled>]] [/esa:<Address>] [/ese:[<Srcenabled>]] [/aes] [/res] [/un:<Username>] [/up:<Password>] [/d:<Desc>] [/uri:<Uri>] [/cm:<Configmode>] [/ex:<Expires>] [/q:<Query>] [/dia:<Dialect>] [/tn:<Transportname>] [/tp:<Transportport>] [/dm:<Deliverymode>] [/dmi:<Deliverymax>] [/dmlt:<Deliverytime>] [/hi:<Heartbeat>] [/cf:<Content>] [/l:<Locale>] [/ree:[<Readexist>]] [/lf:<Logfile>] [/pn:<Publishername>] [/essp:<Enableport>] [/hn:<Hostname>] [/ct:<Type>] OR {ss | set-subscription /c:<Configfile> [/cun:<Comusername> /cup:<Compassword>] |
Ändert die Abonnementkonfiguration. Sie können die Abonnement-ID und die entsprechenden Optionen zum Ändern von Abonnementparametern angeben, oder Sie können eine XML-Konfigurationsdatei angeben, um Abonnementparameter zu ändern. |
{cs | create-subscription} <Configfile> [/cun:<Username> /cup:<Password>] |
Erstellt ein Remoteabonnement. <Configfile> gibt den Pfad zur XML-Datei an, die die Abonnementkonfiguration enthält. Der Pfad kann absolut oder relativ zum aktuellen Verzeichnis sein. |
{ds | delete-subscription} <Subid> |
Löscht ein Abonnement und löscht alle Ereignisquellen, die Ereignisse im Ereignisprotokoll für das Abonnement übermitteln. Alle bereits empfangenen und protokollierten Ereignisse werden nicht gelöscht. <Subid> ist eine Zeichenfolge, die ein Abonnement eindeutig identifiziert. Sie entspricht der Zeichenfolge, die im Tag <SubscriptionId> der XML-Konfigurationsdatei angegeben wurde, die zum Erstellen des Abonnements verwendet wurde. |
{rs | retry-subscription} <Subid> [<Eventsource>…] |
Versucht erneut, eine Verbindung herzustellen und eine Remoteabonnementanforderung an ein inaktives Abonnement zu senden. Versucht, alle Ereignisquellen oder angegebenen Ereignisquellen erneut zu aktivieren. Deaktivierte Quellen werden nicht wiederholt. <Subid> ist eine Zeichenfolge, die ein Abonnement eindeutig identifiziert. Sie entspricht der Zeichenfolge, die im Tag <SubscriptionId> der XML-Konfigurationsdatei angegeben wurde, die zum Erstellen des Abonnements verwendet wurde. <Eventsource> ist eine Zeichenfolge, die einen Computer identifiziert, der als Quelle von Ereignissen dient. Es sollte sich um einen vollqualifizierten Domänennamen, einen NetBIOS-Namen oder eine IP-Adresse handeln. |
{qc | quick-config} [/q:[<Quiet>]] |
Konfiguriert den Windows-Ereignissammlerdienst, um sicherzustellen, dass ein Abonnement erstellt und durch Neustarts aufrechterhalten werden kann. Dies umfasst die folgenden Schritte:
|
Tastatur
| Option | BESCHREIBUNG |
|---|---|
/f:<Format> |
Gibt das Format der angezeigten Informationen an. <Format> kann XML oder Terse sein. Wenn es sich um XML handelt, wird die Ausgabe im XML-Format angezeigt. Wenn es sich um Terse handelt, wird die Ausgabe in Name-Wert-Paaren angezeigt. Der Standardwert ist Terse. |
/c:<Configfile> |
Gibt den Pfad zur XML-Datei an, die eine Abonnementkonfiguration enthält. Der Pfad kann absolut oder relativ zum aktuellen Verzeichnis sein. Diese Option kann nur mit den Optionen /cun und /cup verwendet werden und schließt sich mit allen anderen Optionen gegenseitig aus. |
/e:[<Subenabled>] |
Aktiviert oder deaktiviert ein Abonnement. <Subenabled> kann true oder false sein. Der Standardwert dieser Option ist true. |
/esa:<Address> |
Gibt die Adresse einer Ereignisquelle an. <Address> ist eine Zeichenfolge, die einen vollqualifizierten Domänennamen, einen NetBIOS-Namen oder eine IP-Adresse enthält, die einen Computer identifiziert, der als Ereignisquelle dient. Diese Option sollte mit den Optionen /ese, /aes, /res oder /un und /up verwendet werden. |
/ese:[<Srcenabled>] |
Aktiviert oder deaktiviert eine Ereignisquelle. <Srcenabled> kann true oder false sein. Diese Option ist nur zulässig, wenn die Option /esa angegeben ist. Der Standardwert dieser Option ist true. |
| /aes | Fügt die Ereignisquelle hinzu, die durch die Option /esa angegeben wird, wenn sie noch nicht Teil des Abonnements ist. Wenn die durch die Option /esa angegebene Adresse bereits Teil des Abonnements ist, wird ein Fehler gemeldet. Diese Option ist nur zulässig, wenn die Option /esa angegeben ist. |
| /res | Entfernt die Ereignisquelle, die durch die Option /esa angegeben wird, wenn sie bereits Teil des Abonnements ist. Wenn die durch die Option /esa angegebene Adresse nicht Teil des Abonnements ist, wird ein Fehler gemeldet. Diese Option ist nur zulässig, wenn die Option /esa angegeben ist. |
/un:<Username> |
Gibt die Benutzeranmeldeinformationen an, die mit der durch die Option /esa angegebenen Ereignisquelle verwendet werden sollen. Diese Option ist nur zulässig, wenn die Option /esa angegeben ist. |
/up:<Password> |
Gibt das Kennwort an, das den Anmeldeinformationen des Benutzers entspricht. Diese Option ist nur zulässig, wenn die Option /un angegeben ist. |
/d:<Desc> |
Stellt eine Beschreibung für das Abonnement bereit. |
/uri:<Uri> |
Gibt den Typ der Ereignisse an, die vom Abonnement verwendet werden. <Uri> enthält eine URI-Zeichenfolge, die mit der Adresse des Ereignisquellcomputers kombiniert wird, um die Quelle der Ereignisse eindeutig zu identifizieren. Die URI-Zeichenfolge wird für alle Ereignisquelladressen im Abonnement verwendet. |
/cm:<Configmode> |
Legt den Konfigurationsmodus fest. <Configmode> kann eine der folgenden Zeichenfolgen sein: Normal, Custom, MinLatency oder MinBandwidth. Die Modi Normal, MinLatency und MinBandwidth legen den Übermittlungsmodus, die maximale Übermittlungsmenge, das Taktintervall und die maximale Latenzzeit für die Übermittlung fest. Die Optionen /dm, /dmi, /hi oder /dmlt können nur angegeben werden, wenn der Konfigurationsmodus auf Custom festgelegt ist. |
/ex:<Expires> |
Legt den Zeitpunkt fest, zu dem das Abonnement abläuft. <Expires> sollte im STANDARD-XML- oder ISO8601-Datums-/Uhrzeitformat definiert werden: yyyy-MM-ddThh:mm:ss[.sss][Z], wobei T das Zeittrennzeichen und Z die UTC-Zeit angibt. |
/q:<Query> |
Gibt die Abfragezeichenfolge für das Abonnement an. Das Format von <Query> kann für unterschiedliche URI-Werte unterschiedlich sein und gilt für alle Quellen im Abonnement. |
/dia:<Dialect> |
Definiert den Dialekt, den die Abfragezeichenfolge verwendet. |
/tn:<Transportname> |
Gibt den Namen des Transports an, der zum Herstellen einer Verbindung mit einer Remoteereignisquelle verwendet wird. |
/tp:<Transportport> |
Legt die Portnummer fest, die vom Transport beim Herstellen einer Verbindung mit einer Remoteereignisquelle verwendet wird. |
/dm:<Deliverymode> |
Gibt den Übermittlungsmodus an. <Deliverymode> kann entweder pull oder push sein. Diese Option ist nur gültig, wenn die Option /cm auf Benutzerdefiniert festgelegt ist. |
/dmi:<Deliverymax> |
Legt die maximale Anzahl von Elementen für die Batchübermittlung fest. Diese Option ist nur gültig, wenn /cm auf Benutzerdefiniert festgelegt ist. |
/dmlt:<Deliverytime> |
Legt die maximale Latenz bei der Übermittlung eines Batches von Ereignissen fest. <Deliverytime> ist die Anzahl von Millisekunden. Diese Option ist nur gültig, wenn /cm auf Benutzerdefiniert festgelegt ist. |
/hi:<Heartbeat> |
Definiert das Taktintervall. <Heartbeat> ist die Anzahl von Millisekunden. Diese Option ist nur gültig, wenn /cm auf Benutzerdefiniert festgelegt ist. |
/cf:<Content> |
Gibt das Format der zurückgegebenen Ereignisse an. <Content> kann Events oder RenderText sein. Wenn der Wert RenderText ist, werden die Ereignisse mit den lokalisierten Zeichenfolgen (z. B. die Ereignisbeschreibung) zurückgegeben, die an das Ereignis angefügt sind. Der Standardwert ist RenderedText. |
/l:<Locale> |
Gibt das Gebietsschema für die Übermittlung der lokalisierten Zeichenfolgen im RenderText-Format an. <Locale> ist ein Sprach- und Länder-/Regionsbezeichner, z. B. EN-us. Diese Option ist nur gültig, wenn die Option /cf auf RenderedText festgelegt ist. |
/ree:[<Readexist>] |
Identifiziert die Ereignisse, die für das Abonnement übermittelt werden. <Readexist> kann true oder false sein. Wenn <Readexist> true ist, werden alle vorhandenen Ereignisse aus den Abonnementereignisquellen gelesen. Wenn <Readexist> false ist, werden nur zukünftige (eingehende) Ereignisse übermittelt. Der Standardwert ist true für eine /ree-Option ohne einen Wert. Wenn keine /ree-Option angegeben ist, ist der Standardwert false. |
/lf:<Logfile> |
Gibt das lokale Ereignisprotokoll an, das zum Speichern von Ereignissen verwendet wird, die von den Ereignisquellen empfangen werden. |
/pn:<Publishername> |
Gibt den Namen des Herausgebers an. Es muss sich um einen Herausgeber handeln, der das durch die Option /lf angegebene Protokoll besitzt oder importiert. |
/essp:<Enableport> |
Gibt an, dass die Portnummer an den Dienstprinzipalnamen des Remotediensts angefügt werden muss. <Enableport> kann true oder false sein. Die Portnummer wird angefügt, wenn <Enableport> true ist. Wenn die Portnummer angefügt wird, ist möglicherweise eine Konfiguration erforderlich, um zu verhindern, dass der Zugriff auf Ereignisquellen verweigert wird. |
/hn:<Hostname> |
Gibt den DNS-Namen des lokalen Computers an. Dieser Name wird von der Remoteereignisquelle zum Pushback von Ereignissen verwendet und darf nur für ein Pushabonnement verwendet werden. |
/ct:<Type> |
Legt den Anmeldeinformationstyp für den Remotequellenzugriff fest. <Type> sollte einer der folgenden Werte sein: default, negotiate, digest, basic oder localmachine. Der Standardwert ist default. |
/cun:<Comusername> |
Legt die freigegebenen Benutzeranmeldeinformationen fest, die für Ereignisquellen ohne eigene Benutzeranmeldeinformationen verwendet werden sollen. Wenn diese Option mit der Option /c angegeben wird, werden die Einstellungen für UserName und UserPassword für einzelne Ereignisquellen aus der Konfigurationsdatei ignoriert. Wenn Sie für eine bestimmte Ereignisquelle andere Anmeldeinformationen verwenden möchten, sollten Sie diesen Wert überschreiben, indem Sie die Optionen /un und /up für eine bestimmte Ereignisquelle in der Befehlszeile eines anderen ss-Befehls angeben. |
/cup:<Compassword> |
Legt das Benutzerkennwort für die freigegebenen Benutzeranmeldeinformationen fest. Wenn <Compassword> auf * (Sternchen) festgelegt ist, wird das Kennwort aus der Konsole gelesen. Diese Option ist nur anwendbar, wenn die Option /cun angegeben ist. |
/q:[<Quiet>] |
Gibt an, ob die Konfigurationsprozedur zur Bestätigung aufgefordert wird. <Quiet> kann true oder false sein. Wenn <Quiet> true ist, fordert die Konfigurationsprozedur nicht zur Bestätigung auf. Der Standardwert für diese Option ist false. |
Beispiele
Geben Sie Folgendes ein, um den Inhalt einer Konfigurationsdatei anzuzeigen:
<Subscription xmlns=https://schemas.microsoft.com/2006/03/windows/events/subscription>
<Uri>https://schemas.microsoft.com/wbem/wsman/1/windows/EventLog</Uri>
<!-- Use Normal (default), Custom, MinLatency, MinBandwidth -->
<ConfigurationMode>Normal</ConfigurationMode>
<Description>Forward Sample Subscription</Description>
<SubscriptionId>SampleSubscription</SubscriptionId>
<Query><![CDATA[
<QueryList>
<Query Path=Application>
<Select>*</Select>
</Query>
</QueryList>]]
</Query>
<EventSources>
<EventSource Enabled=true>
<Address>mySource.myDomain.com</Address>
<UserName>myUserName</UserName>
<Password>*</Password>
</EventSource>
</EventSources>
<CredentialsType>Default</CredentialsType>
<Locale Language=EN-US></Locale>
</Subscription>
Geben Sie Folgendes ein, um die Ausgabekonfigurationsinformationen für ein Abonnement mit dem Namen sub1 anzuzeigen:
wecutil gs sub1
Beispielausgabe:
EventSource[0]:
Address: localhost
Enabled: true
Description: Subscription 1
Uri: wsman:microsoft/logrecord/sel
DeliveryMode: pull
DeliveryMaxSize: 16000
DeliveryMaxItems: 15
DeliveryMaxLatencyTime: 1000
HeartbeatInterval: 10000
Locale:
ContentFormat: renderedtext
LogFile: HardwareEvents
Geben Sie Folgendes ein, um den Laufzeitstatus eines Abonnements mit dem Namen sub1 anzuzeigen:
wecutil gr sub1
Geben Sie Folgendes ein, um die Abonnementkonfiguration mit dem Namen sub1 aus einer neuen XML-Datei mit dem Namen WsSelRg2.xmlzu aktualisieren:
wecutil ss sub1 /c:%Windir%system32WsSelRg2.xml
Geben Sie Folgendes ein, um die Abonnementkonfiguration mit dem Namen sub2 mit mehreren Parametern zu aktualisieren:
wecutil ss sub2 /esa:myComputer /ese /un:uname /up:* /cm:Normal
Geben Sie Folgendes ein, um ein Abonnement mit dem Namen sub1 zu löschen:
wecutil ds sub1