Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Ermöglicht das Erstellen und Verwalten von Abonnements für Ereignisse, die von Remotecomputern weitergeleitet werden. Der Remotecomputer muss das WS-Management Protokoll unterstützen.
Important
Wenn Sie die Meldung "Der RPC-Server ist nicht verfügbar? Wenn Sie versuchen, wecutil auszuführen, müssen Sie den Windows-Ereignissammlerdienst (wecsvc) starten. Um wecsvc zu starten, geben Sie an einer Eingabeaufforderung mit erhöhten Rechten den Typ net start wecsvcan.
Syntax
wecutil [{es | enum-subscription}] [{gs | get-subscription} <Subid> [/f:<Format>] [/uni:<Unicode>]] [{gr | get-subscriptionruntimestatus} <Subid> [<Eventsource> …]] [{ss | set-subscription} [<Subid> [/e:[<Subenabled>]] [/esa:<Address>] [/ese:[<Srcenabled>]] [/aes] [/res] [/un:<Username>] [/up:<Password>] [/d:<Desc>] [/uri:<Uri>] [/cm:<Configmode>] [/ex:<Expires>] [/q:<Query>] [/dia:<Dialect>] [/tn:<Transportname>] [/tp:<Transportport>] [/dm:<Deliverymode>] [/dmi:<Deliverymax>] [/dmlt:<Deliverytime>] [/hi:<Heartbeat>] [/cf:<Content>] [/l:<Locale>] [/ree:[<Readexist>]] [/lf:<Logfile>] [/pn:<Publishername>] [/essp:<Enableport>] [/hn:<Hostname>] [/ct:<Type>]] [/c:<Configfile> [/cun:<Username> /cup:<Password>]]] [{cs | create-subscription} <Configfile> [/cun:<Username> /cup:<Password>]] [{ds | delete-subscription} <Subid>] [{rs | retry-subscription} <Subid> [<Eventsource>…]] [{qc | quick-config} [/q:[<quiet>]]]
Parameters
| Parameter | Description |
|---|---|
{es | enum-subscription} |
Zeigt die Namen aller vorhandenen Remoteereignisabonnements an. |
{gs | get-subscription} <Subid> [/f:<Format>] [/uni:<Unicode>] |
Zeigt Informationen zur Remoteabonnementkonfiguration an.
<Subid> ist eine Zeichenfolge, die ein Abonnement eindeutig identifiziert. Es entspricht der Zeichenfolge, die im <SubscriptionId> Tag der XML-Konfigurationsdatei angegeben wurde, die zum Erstellen des Abonnements verwendet wurde. |
{gr | get-subscriptionruntimestatus} <Subid> [<Eventsource> …] |
Zeigt den Laufzeitstatus eines Abonnements an.
<Subid> ist eine Zeichenfolge, die ein Abonnement eindeutig identifiziert. Es entspricht der Zeichenfolge, die im <SubscriptionId> Tag der XML-Konfigurationsdatei angegeben wurde, die zum Erstellen des Abonnements verwendet wurde.
<Eventsource> ist eine Zeichenfolge, die einen Computer identifiziert, der als Quelle von Ereignissen dient. Dabei sollte es sich um einen vollqualifizierten Domänennamen, einen NetBIOS-Namen oder eine IP-Adresse handeln. |
{ss | set-subscription} <Subid> [/e:[<Subenabled>]] [/esa:<Address>] [/ese:[<Srcenabled>]] [/aes] [/res] [/un:<Username>] [/up:<Password>] [/d:<Desc>] [/uri:<Uri>] [/cm:<Configmode>] [/ex:<Expires>] [/q:<Query>] [/dia:<Dialect>] [/tn:<Transportname>] [/tp:<Transportport>] [/dm:<Deliverymode>] [/dmi:<Deliverymax>] [/dmlt:<Deliverytime>] [/hi:<Heartbeat>] [/cf:<Content>] [/l:<Locale>] [/ree:[<Readexist>]] [/lf:<Logfile>] [/pn:<Publishername>] [/essp:<Enableport>] [/hn:<Hostname>] [/ct:<Type>] OR {ss | set-subscription /c:<Configfile> [/cun:<Comusername> /cup:<Compassword>] |
Ändert die Abonnementkonfiguration. Sie können die Abonnement-ID und die entsprechenden Optionen zum Ändern von Abonnementparametern angeben oder eine XML-Konfigurationsdatei zum Ändern von Abonnementparametern angeben. |
{cs | create-subscription} <Configfile> [/cun:<Username> /cup:<Password>] |
Erstellt ein Remoteabonnement.
<Configfile> Gibt den Pfad zur XML-Datei an, die die Abonnementkonfiguration enthält. Der Pfad kann absolut oder relativ zum aktuellen Verzeichnis sein. |
{ds | delete-subscription} <Subid> |
Löscht ein Abonnement und gekündigt von allen Ereignisquellen, die Ereignisse in das Ereignisprotokoll für das Abonnement übermitteln. Alle bereits empfangenen und protokollierten Ereignisse werden nicht gelöscht.
<Subid> ist eine Zeichenfolge, die ein Abonnement eindeutig identifiziert. Es entspricht der Zeichenfolge, die im <SubscriptionId> Tag der XML-Konfigurationsdatei angegeben wurde, die zum Erstellen des Abonnements verwendet wurde. |
{rs | retry-subscription} <Subid> [<Eventsource>…] |
Es wird erneut versucht, eine Verbindung herzustellen und eine Remoteabonnementanforderung an ein inaktives Abonnement zu senden. Versucht, alle Ereignisquellen oder angegebenen Ereignisquellen zu reaktivieren. Deaktivierte Quellen werden nicht wiederholt.
<Subid> ist eine Zeichenfolge, die ein Abonnement eindeutig identifiziert. Es entspricht der Zeichenfolge, die im <SubscriptionId> Tag der XML-Konfigurationsdatei angegeben wurde, die zum Erstellen des Abonnements verwendet wurde.
<Eventsource> ist eine Zeichenfolge, die einen Computer identifiziert, der als Quelle von Ereignissen dient. Dabei sollte es sich um einen vollqualifizierten Domänennamen, einen NetBIOS-Namen oder eine IP-Adresse handeln. |
{qc | quick-config} [/q:[<Quiet>]] |
Konfiguriert den Windows-Ereignissammlerdienst, um sicherzustellen, dass ein Abonnement über Neustarts erstellt und nachhaltig werden kann. Dazu gehören die folgenden Schritte:
|
Options
| Option | Description |
|---|---|
/f:<Format> |
Gibt das Format der angezeigten Informationen an.
<Format> kann XML oder Terse sein. Wenn es sich um XML handelt, wird die Ausgabe im XML-Format angezeigt. Wenn es sich um Minse handelt, wird die Ausgabe in Name-Wert-Paaren angezeigt. Der Standardwert ist Shortse. |
/c:<Configfile> |
Gibt den Pfad zur XML-Datei an, die eine Abonnementkonfiguration enthält. Der Pfad kann absolut oder relativ zum aktuellen Verzeichnis sein. Diese Option kann nur mit den Optionen /cun und /cup verwendet werden und schließt sich gegenseitig mit allen anderen Optionen aus. |
/e:[<Subenabled>] |
Aktiviert oder deaktiviert ein Abonnement.
<Subenabled> kann true oder false sein. Der Standardwert dieser Option ist true. |
/esa:<Address> |
Gibt die Adresse einer Ereignisquelle an.
<Address> ist eine Zeichenfolge, die einen vollqualifizierten Domänennamen, einen NetBIOS-Namen oder eine IP-Adresse enthält, die einen Computer identifiziert, der als Quelle von Ereignissen dient. Diese Option sollte mit den Optionen /ese, /aes, /res oder /un und /up verwendet werden. |
/ese:[<Srcenabled>] |
Aktiviert oder deaktiviert eine Ereignisquelle.
<Srcenabled> kann true oder false sein. Diese Option ist nur zulässig, wenn die Option /esa angegeben ist. Der Standardwert dieser Option ist true. |
| /aes | Fügt die Ereignisquelle hinzu, die mit der Option /esa angegeben wird, wenn sie nicht bereits Teil des Abonnements ist. Wenn die mit der Option /esa angegebene Adresse bereits Teil des Abonnements ist, wird ein Fehler gemeldet. Diese Option ist nur zulässig, wenn die Option /esa angegeben ist. |
| /res | Entfernt die Ereignisquelle, die mit der Option /esa angegeben wird, wenn sie bereits Teil des Abonnements ist. Wenn die mit der Option /esa angegebene Adresse nicht Teil des Abonnements ist, wird ein Fehler gemeldet. Diese Option ist nur zulässig, wenn die Option /esa angegeben ist. |
/un:<Username> |
Gibt die Benutzeranmeldeinformationen an, die mit der Ereignisquelle verwendet werden sollen, die mit der Option /esa angegeben wird. Diese Option ist nur zulässig, wenn die Option /esa angegeben ist. |
/up:<Password> |
Gibt das Kennwort an, das den Benutzeranmeldeinformationen entspricht. Diese Option ist nur zulässig, wenn die Option /un angegeben ist. |
/d:<Desc> |
Stellt eine Beschreibung für das Abonnement bereit. |
/uri:<Uri> |
Gibt den Typ der Ereignisse an, die vom Abonnement verwendet werden.
<Uri> enthält eine URI-Zeichenfolge, die mit der Adresse des Ereignisquellcomputers kombiniert wird, um die Quelle der Ereignisse eindeutig zu identifizieren. Die URI-Zeichenfolge wird für alle Ereignisquelladressen im Abonnement verwendet. |
/cm:<Configmode> |
Legt den Konfigurationsmodus fest.
<Configmode> kann eine der folgenden Zeichenfolgen sein: Normal, Custom, MinLatency oder MinBandwidth. Mit den Modi Normal, MinLatency und MinBandwidth werden der Übermittlungsmodus, die maximalen Elemente für die Übermittlung, das Taktintervall und die maximale Latenzzeit für die Übermittlung festgelegt. Die Optionen /dm, /dmi, /hi oder /dmlt können nur angegeben werden, wenn der Konfigurationsmodus auf Benutzerdefiniert festgelegt ist. |
/ex:<Expires> |
Legt den Zeitpunkt fest, zu dem das Abonnement abläuft.
<Expires> sollte im Standard-XML- oder ISO8601 Datums-/Zeitformat definiert werden: yyyy-MM-ddThh:mm:ss[.sss][Z], wobei T das Zeittrennzeichen und Z die UTC-Zeit angibt. |
/q:<Query> |
Gibt die Abfragezeichenfolge für das Abonnement an. Das Format kann <Query> für unterschiedliche URI-Werte unterschiedlich sein und gilt für alle Quellen im Abonnement. |
/dia:<Dialect> |
Definiert den Dialekt, den die Abfragezeichenfolge verwendet. |
/tn:<Transportname> |
Gibt den Namen des Transports an, der zum Herstellen einer Verbindung mit einer Remoteereignisquelle verwendet wird. |
/tp:<Transportport> |
Legt die Portnummer fest, die vom Transport beim Herstellen einer Verbindung mit einer Remoteereignisquelle verwendet wird. |
/dm:<Deliverymode> |
Gibt den Übermittlungsmodus an.
<Deliverymode> kann entweder Pull oder Push sein. Diese Option ist nur gültig, wenn die Option /cm auf Benutzerdefiniert festgelegt ist. |
/dmi:<Deliverymax> |
Legt die maximale Anzahl von Elementen für die Batchübermittlung fest. Diese Option ist nur gültig, wenn /cm auf Benutzerdefiniert festgelegt ist. |
/dmlt:<Deliverytime> |
Legt die maximale Latenz bei der Bereitstellung eines Batches von Ereignissen fest.
<Deliverytime> ist die Anzahl von Millisekunden. Diese Option ist nur gültig, wenn /cm auf Benutzerdefiniert festgelegt ist. |
/hi:<Heartbeat> |
Definiert das Taktintervall.
<Heartbeat> ist die Anzahl von Millisekunden. Diese Option ist nur gültig, wenn /cm auf Benutzerdefiniert festgelegt ist. |
/cf:<Content> |
Gibt das Format der ereignisse an, die zurückgegeben werden.
<Content> kann Ereignisse oder RenderText sein. Wenn der Wert RenderedText ist, werden die Ereignisse mit den lokalisierten Zeichenfolgen (z. B. der Ereignisbeschreibung) zurückgegeben, die an das Ereignis angefügt sind. Der Standardwert ist RenderedText. |
/l:<Locale> |
Gibt das Gebietsschema für die Übermittlung der lokalisierten Zeichenfolgen im RenderText-Format an.
<Locale> ist eine Sprach- und Länder-/Regions-ID, z. B. "EN-us". Diese Option ist nur gültig, wenn die Option /cf auf RenderedText festgelegt ist. |
/ree:[<Readexist>] |
Identifiziert die Ereignisse, die für das Abonnement übermittelt werden.
<Readexist> kann wahr oder falsch sein. Wenn dies <Readexist> der Fall ist, werden alle vorhandenen Ereignisse aus den Abonnementereignisquellen gelesen. Wenn " <Readexist> false" ist, werden nur zukünftige (eingehende) Ereignisse übermittelt. Der Standardwert ist true für eine /ree-Option ohne Wert. Wenn keine / ree-Option angegeben ist, ist der Standardwert false. |
/lf:<Logfile> |
Gibt das lokale Ereignisprotokoll an, das zum Speichern von Ereignissen verwendet wird, die von den Ereignisquellen empfangen werden. |
/pn:<Publishername> |
Gibt den Herausgebernamen an. Es muss sich um einen Publikationseigentümer handeln, der das mit der Option /lf angegebene Protokoll besitzt oder importiert. |
/essp:<Enableport> |
Gibt an, dass die Portnummer an den Dienstprinzipalnamen des Remotediensts angefügt werden muss.
<Enableport> kann true oder false sein. Die Portnummer wird angefügt, wenn <Enableport> "true" ist. Wenn die Portnummer angefügt wird, ist möglicherweise eine Konfiguration erforderlich, um zu verhindern, dass der Zugriff auf Ereignisquellen verweigert wird. |
/hn:<Hostname> |
Gibt den DNS-Namen des lokalen Computers an. Dieser Name wird von der Remoteereignisquelle zum Zurücksetzen von Ereignissen verwendet und darf nur für ein Pushabonnement verwendet werden. |
/ct:<Type> |
Legt den Anmeldeinformationstyp für den Remotequellenzugriff fest.
<Type> Sollte einer der folgenden Werte sein: default, negotiate, digest, basic oder localmachine. Der Standardwert ist default. |
/cun:<Comusername> |
Legt die freigegebenen Benutzeranmeldeinformationen fest, die für Ereignisquellen verwendet werden sollen, die nicht über eigene Benutzeranmeldeinformationen verfügen. Wenn diese Option mit der Option /c angegeben wird, werden die Einstellungen für UserName und UserPassword für einzelne Ereignisquellen aus der Konfigurationsdatei ignoriert. Wenn Sie andere Anmeldeinformationen für eine bestimmte Ereignisquelle verwenden möchten, sollten Sie diesen Wert überschreiben, indem Sie die Optionen /un und /up für eine bestimmte Ereignisquelle in der Befehlszeile eines anderen ss-Befehls angeben. |
/cup:<Compassword> |
Legt das Benutzerkennwort für die freigegebenen Benutzeranmeldeinformationen fest. Wenn <Compassword> sie auf * (Sternchen) festgelegt ist, wird das Kennwort aus der Konsole gelesen. Diese Option ist nur gültig, wenn die Option /cun angegeben ist. |
/q:[<Quiet>] |
Gibt an, ob die Konfigurationsverfahren zur Bestätigung aufgefordert werden.
<Quiet> kann true oder false sein. Ist <Quiet> dies der Fall, fordert das Konfigurationsprozedur nicht zur Bestätigung auf. Der Standardwert dieser Option ist false. |
Examples
Geben Sie Folgendes ein, um den Inhalt einer Konfigurationsdatei anzuzeigen:
<Subscription xmlns=https://schemas.microsoft.com/2006/03/windows/events/subscription>
<Uri>https://schemas.microsoft.com/wbem/wsman/1/windows/EventLog</Uri>
<!-- Use Normal (default), Custom, MinLatency, MinBandwidth -->
<ConfigurationMode>Normal</ConfigurationMode>
<Description>Forward Sample Subscription</Description>
<SubscriptionId>SampleSubscription</SubscriptionId>
<Query><![CDATA[
<QueryList>
<Query Path=Application>
<Select>*</Select>
</Query>
</QueryList>]]
</Query>
<EventSources>
<EventSource Enabled=true>
<Address>mySource.myDomain.com</Address>
<UserName>myUserName</UserName>
<Password>*</Password>
</EventSource>
</EventSources>
<CredentialsType>Default</CredentialsType>
<Locale Language=EN-US></Locale>
</Subscription>
Geben Sie Folgendes ein, um die Ausgabekonfigurationsinformationen für ein Abonnement mit dem Namen sub1 anzuzeigen:
wecutil gs sub1
Example output:
EventSource[0]:
Address: localhost
Enabled: true
Description: Subscription 1
Uri: wsman:microsoft/logrecord/sel
DeliveryMode: pull
DeliveryMaxSize: 16000
DeliveryMaxItems: 15
DeliveryMaxLatencyTime: 1000
HeartbeatInterval: 10000
Locale:
ContentFormat: renderedtext
LogFile: HardwareEvents
Um den Laufzeitstatus eines Abonnements mit dem Namen "Sub1" anzuzeigen, geben Sie Folgendes ein:
wecutil gr sub1
Geben Sie Folgendes ein, um die Abonnementkonfiguration mit dem Namen sub1 aus einer neuen XML-Datei mit dem Namen WsSelRg2.xmlzu aktualisieren:
wecutil ss sub1 /c:%Windir%system32WsSelRg2.xml
Geben Sie Folgendes ein, um die Abonnementkonfiguration mit dem Namen sub2 mit mehreren Parametern zu aktualisieren:
wecutil ss sub2 /esa:myComputer /ese /un:uname /up:* /cm:Normal
Geben Sie Folgendes ein, um ein Abonnement mit dem Namen sub1 zu löschen:
wecutil ds sub1