Wecutil.exe
Wecutil.exe es una utilidad del recopilador de eventos de Windows que permite a un administrador crear y administrar suscripciones a eventos reenviados desde orígenes de eventos remotos que admiten el protocolo WS-Management. Los comandos, las opciones y los valores de opción no distinguen mayúsculas de minúsculas para esta utilidad.
Si recibe un mensaje que indica "El servidor RPC no está disponible" o "La interfaz es desconocida" al intentar ejecutar wecutil, debe iniciar el servicio recopilador de eventos de Windows (wecsvc). Para iniciar wecsvc, en un símbolo del sistema con privilegios elevados, escriba net start wecsvc.
La siguiente sintaxis se usa para enumerar las suscripciones de eventos remotos existentes.
wecutil { es | enum-subscription }
Si usa un script para obtener los nombres de las suscripciones de la salida, deberá omitir los caracteres BOM UTF-8 en la primera línea de la salida. En el siguiente script se muestra un ejemplo de cómo se pueden omitir los caracteres bom.
setlocal enabledelayedexpansion
set bomskipped=
for /f %%i in ('wecutil es') do (
set sub=%%i
if not defined bomskipped (
set sub=!sub:~3!
set bomskipped=yes
)
echo !sub!
)
goto :eof
endlocal
La sintaxis siguiente se usa para mostrar los datos de configuración de la suscripción a eventos remotos.
wecutil { gs | get-subscription } SUBSCRIPTION_ID [/f:VALUE
[/u:VALUE] ...]
-
SUBSCRIPTION_ID
-
Cadena que identifica de forma única una suscripción. Este identificador se especifica en el elemento SubscriptionId del archivo de configuración XML que se usa para crear la suscripción.
-
/f:VALUE
-
Valor que especifica la salida de los datos de configuración de la suscripción. VALUE puede ser "XML" o "Terse", y el valor predeterminado es "Terse". Si VALUE es "XML", la salida se imprime en formato "XML". Si VALUE es "Terse", la salida se imprime en pares nombre-valor.
-
/u: VALUE
-
Valor que especifica si la salida está en formato Unicode. VALUE puede ser "true" o "false". Si VALUE es "true", la salida está en formato Unicode y, si VALUE es "false", la salida no está en formato Unicode.
La sintaxis siguiente se usa para mostrar el estado del entorno de ejecución de la suscripción.
wecutil { gr | get-subscriptionruntimestatus } SUBSCRIPTION_ID
[EVENT_SOURCE [EVENT_SOURCE] ...]
-
SUBSCRIPTION_ID
-
Cadena que identifica de forma única una suscripción. Este identificador se especifica en el elemento SubscriptionId del archivo de configuración XML que se usa para crear la suscripción.
-
EVENT_SOURCE
-
Valor que identifica un equipo que es un origen de eventos para una suscripción de eventos. Este valor puede ser el nombre de dominio completo del equipo, el nombre NetBIOS o la dirección IP.
La sintaxis siguiente se usa para establecer los datos de configuración de la suscripción cambiando los parámetros de suscripción de la línea de comandos o mediante un archivo de configuración XML.
wecutil { ss | set_subscription } SUBSCRIPTION_ID [/e:VALUE]
[/esa:EVENT_SOURCE [/ese:VALUE] [/aes] [/res] [/un:USERNAME] [/up:PASSWORD]]
[/d:DESCRIPTION] [/uri:URI] [/cm:CONFIGURATION_MODE] [/ex:DATE_TIME]
[/q:QUERY] [/dia:DIALECT] [/tn:TRANSPORTNAME] [/tp:TRANSPORTPORT] [/dm:MODE]
[/dmi:NUMBER] [/dmlt:MS] [/hi:MS] [/cf:FORMAT] [/l:LOCALE] [/ree:[VALUE]]
[/lf:FILENAME] [/pn:PUBLISHER] [/hn:NAME] [/ct:TYPE]
[/cun:USERNAME] [/cup:PASSWORD]
[/ica:THUMBPRINTS] [/as:ALLOWED] [/ds:DENIED] [/adc:SDDL]
wecutil {ss | set_subscription } /c:CONGIG_FILE [/cun:USERNAME]
[/cup:PASSWORD]
Cuando se especifica un nombre de usuario o una contraseña incorrectos en el comando wecutil ss , no se notifica ningún error hasta que vea el estado en tiempo de ejecución de la suscripción mediante el comando wecutil gr .
-
SUBSCRIPTION_ID
-
Cadena que identifica de forma única una suscripción. Este identificador se especifica en el elemento SubscriptionId del archivo de configuración XML que se usa para crear la suscripción.
-
/c: CONGIG_FILE
-
Valor que especifica la ruta de acceso al archivo XML que contiene información de configuración de suscripción. La ruta de acceso puede ser absoluta o relativa al directorio actual. Este parámetro solo se puede usar con los parámetros opcionales /cus y /cup, y es mutuamente excluyente con todos los demás parámetros.
-
/e: VALUE
-
Valor que determina si se va a habilitar o deshabilitar la suscripción. VALUE puede ser true o false. El valor predeterminado es true, que habilita la suscripción.
Nota
Al deshabilitar una suscripción iniciada por el recopilador, el origen del evento se vuelve inactivo en lugar de deshabilitado. En una suscripción iniciada por el recopilador, puede deshabilitar un origen de eventos independiente de la suscripción.
-
/d: DESCRIPTION
-
Valor que especifica una descripción para la suscripción de eventos.
-
/ex: DATE_TIME
-
Valor que especifica la hora de expiración de la suscripción. DATE_TIME es un valor especificado en formato de fecha y hora XML estándar o ISO8601: "aaaa-MM-ddThh:mm:sss[.sss][Z]", donde "T" es el separador de hora y "Z" indica la hora UTC. Por ejemplo, si DATE_TIME es "2007-01-12T01:20:00", la hora de expiración de la suscripción es el 12 de enero de 2007, 01:20.
-
/uri: URI
-
Valor que especifica el tipo de eventos consumidos por la suscripción. La dirección del equipo de origen de eventos junto con el identificador uniforme de recursos (URI) identifica de forma única el origen de los eventos. La cadena de URI se usa para todas las direcciones de origen de eventos de la suscripción.
-
/cm: CONFIGURATION_MODE
-
Valor que especifica el modo de configuración de la suscripción de eventos. CONFIGURATION_MODE puede ser una de las siguientes cadenas: "Normal", "Custom", "MinLatency" o "MinBandwidth". La enumeración EC_SUBSCRIPTION_CONFIGURATION_MODE define los modos de configuración. Los parámetros /dm, /dmi, /hi y /dmlt solo se pueden especificar si el modo de configuración está establecido en Personalizado.
-
/q: QUERY
-
Valor que especifica la cadena de consulta de la suscripción. El formato de esta cadena puede ser diferente para distintos valores de URI y se aplica a todos los orígenes de eventos de la suscripción.
-
/dia: DIALECTO
-
Valor que especifica el dialecto que usa la cadena de consulta.
-
/cf: FORMAT
-
Valor que especifica el formato de los eventos devueltos. FORMAT puede ser "Events" o "RenderedText". Cuando el valor es "RenderedText", los eventos se devuelven con las cadenas localizadas (como cadenas de descripción de eventos) adjuntas a los eventos. El valor predeterminado de FORMAT es "RenderedText".
-
/l: LOCALE
-
Valor que especifica la configuración regional para la entrega de las cadenas localizadas en formato de texto representado. LOCALE es un identificador de referencia cultural de idioma o país, por ejemplo, "EN-us". Este parámetro solo es válido cuando el parámetro /cf se establece en "RenderedText".
-
/ree:[VALUE]
-
Valor que especifica qué eventos se van a entregar para la suscripción. VALUE puede ser true o false. Cuando VALUE es true, todos los eventos existentes se leen de los orígenes de eventos de suscripción. Cuando VALUE es false, solo se entregan los eventos futuros (que llegan). El valor predeterminado es true cuando se especifica /ree sin un valor y el valor predeterminado es false si no se especifica /ree.
-
/lf: FILENAME
-
Valor que especifica el registro de eventos local que se usa para almacenar eventos recibidos de la suscripción de eventos.
-
/pn: PUBLISHER
-
Valor que especifica el nombre del publicador de eventos (proveedor). Debe ser un publicador que posee o importa el registro especificado por el parámetro /lf.
-
/dm: MODE
-
Valor que especifica el modo de entrega de la suscripción. MODE puede ser push o pull. Esta opción solo es válida si el parámetro /cm está establecido en Personalizado.
-
/dmi: NUMBER
-
Valor que especifica el número máximo de elementos para la entrega por lotes en la suscripción de eventos. Esta opción solo es válida si el parámetro /cm está establecido en Personalizado.
-
/dmlt: MS
-
Valor que especifica la latencia máxima permitida en la entrega de un lote de eventos. MS es el número de milisegundos permitidos. Este parámetro solo es válido si el parámetro /cm está establecido en Personalizado.
-
/hi: MS
-
Valor que especifica el intervalo de latido de la suscripción. MS es el número de milisegundos usados en el intervalo. Este parámetro solo es válido si el parámetro /cm está establecido en Personalizado.
-
/tn: TRANSPORTNAME
-
Valor que especifica el nombre del transporte utilizado para conectarse al equipo de origen de eventos remoto.
-
/esa: EVENT_SOURCE
-
Valor que especifica la dirección de un equipo de origen de eventos. EVENT_SOURCE es una cadena que identifica un equipo de origen de eventos mediante el nombre de dominio completo del equipo, el nombre NetBIOS o la dirección IP. Este parámetro se puede usar con los parámetros /ese, /aes, /res o /un y /up.
-
/ese: VALUE
-
Valor que determina si se va a habilitar o deshabilitar un origen de eventos. VALUE puede ser true o false. El valor predeterminado es true, lo que habilita el origen del evento. Este parámetro solo se usa si se usa el parámetro /esa.
-
/Aes
-
Valor que agrega el origen de eventos especificado por el parámetro /esa si el origen del evento aún no forma parte de la suscripción de eventos. Si el equipo especificado por el parámetro /esa ya forma parte de la suscripción, se muestra un error. Este parámetro solo se permite si se usa el parámetro /esa.
-
/res
-
Valor que quita el origen de eventos especificado por el parámetro /esa si el origen del evento ya forma parte de la suscripción de eventos. Si el equipo especificado por el parámetro /esa no forma parte de la suscripción, se muestra un error. Este parámetro solo se permite si se usa el parámetro /esa.
-
/un: USERNAME
-
Valor que especifica el nombre de usuario usado en las credenciales para conectarse al origen de eventos especificado en el parámetro /esa. Este parámetro solo se permite si se usa el parámetro /esa.
-
/up: PASSWORD
-
Valor que especifica la contraseña del nombre de usuario especificado en el parámetro /un. El nombre de usuario y las credenciales de contraseña se usan para conectarse al origen del evento especificado en el parámetro /esa. Este parámetro solo se permite si se usa el parámetro /un.
-
/tp: TRANSPORTPORT
-
Valor que especifica el número de puerto utilizado por el transporte al conectarse a un equipo de origen de eventos remoto.
-
/hn: NAME
-
Valor que especifica el nombre DNS del equipo local. Los orígenes de eventos remotos usan este nombre para devolver eventos y solo se deben usar para suscripciones de inserción.
-
/ct: TYPE
-
Valor que especifica el tipo de credencial utilizado para acceder a orígenes de eventos remotos. TYPE puede ser "default", "negotiate", "digest", "basic" o "localmachine". El valor predeterminado es "default". Estos valores se definen en la enumeración EC_SUBSCRIPTION_CREDENTIALS_TYPE .
-
/cun: USERNAME
-
Valor que establece las credenciales de usuario compartidas usadas para orígenes de eventos que no tienen sus propias credenciales de usuario.
Nota
Si este parámetro se usa con la opción /c, se omiten los valores de nombre de usuario y contraseña para orígenes de eventos individuales del archivo de configuración. Si desea usar credenciales diferentes para un origen de eventos específico, puede invalidar este valor especificando los parámetros /un y /up para un origen de eventos específico en la línea de comandos de otro comando set-subscription.
-
/cup: CONTRASEÑA
-
Valor que establece la contraseña de usuario para las credenciales de usuario compartidas. Cuando PASSWORD se establece en * (asterisco), la contraseña se lee desde la consola. Esta opción solo es válida cuando se especifica el parámetro /cun.
-
/ica: HUELLAS DIGITALES
-
Valor que establece la lista de huellas digitales del certificado emisor, en una lista separada por comas.
Nota
Esta opción solo es específica de las suscripciones iniciadas por el origen.
-
/as: PERMITIDO
-
Valor que establece una lista separada por comas de cadena que especifica los nombres DNS de equipos que no son de dominio que pueden iniciar suscripciones. Los nombres se pueden especificar mediante caracteres comodín, como "*.mydomain.com". Esta lista aparece vacía de forma predeterminada.
Nota
Esta opción solo es específica de las suscripciones iniciadas por el origen.
-
/ds: DENEGADO
-
Valor que establece una lista separada por comas de cadena que especifica los nombres DNS de equipos que no son de dominio que no pueden iniciar suscripciones. Los nombres se pueden especificar mediante caracteres comodín, como "*.mydomain.com". Esta lista aparece vacía de forma predeterminada.
Nota
Esta opción solo es específica de las suscripciones iniciadas por el origen.
-
/adc: SDDL
-
Valor que establece una cadena, en formato SDDL, que especifica qué equipos de dominio se permiten o no pueden iniciar suscripciones. El valor predeterminado es permitir que todos los equipos de dominio inicien suscripciones.
Nota
Esta opción solo es específica de las suscripciones iniciadas por el origen.
La sintaxis siguiente se usa para crear una suscripción de eventos para eventos en un equipo remoto.
wecutil {cs | create-subscription } CONFIGURATION_FILE [/cun:USERNAME]
[/cup:PASSWORD]
Cuando se especifica un nombre de usuario o una contraseña incorrectos en el comando wecutil cs , no se notifica ningún error hasta que vea el estado en tiempo de ejecución de la suscripción mediante el comando wecutil gr .
-
FICHERO_CONFIGURACIÓN
-
Valor que especifica la ruta de acceso al archivo XML que contiene información de configuración de la suscripción. La ruta de acceso puede ser absoluta o relativa al directorio actual.
El siguiente XML es un ejemplo de un archivo de configuración de suscripción que crea una suscripción iniciada por el recopilador para reenviar eventos desde el registro de eventos application de un equipo remoto al registro ForwardedEvents.
<Subscription xmlns="http://schemas.microsoft.com/2006/03/windows/events/subscription"> <SubscriptionId>SampleCISubscription</SubscriptionId> <SubscriptionType>CollectorInitiated</SubscriptionType> <Description>Collector Initiated Subscription Sample</Description> <Enabled>true</Enabled> <Uri>http://schemas.microsoft.com/wbem/wsman/1/windows/EventLog</Uri> <!-- Use Normal (default), Custom, MinLatency, MinBandwidth --> <ConfigurationMode>Custom</ConfigurationMode> <Delivery Mode="Push"> <Batching> <MaxItems>20</MaxItems> <MaxLatencyTime>60000</MaxLatencyTime> </Batching> <PushSettings> <HostName>thisMachine.myDomain.com</HostName> <Heartbeat Interval="60000"/> </PushSettings> </Delivery> <Expires>2010-01-01T00:00:00.000Z</Expires> <Query> <![CDATA[ <QueryList> <Query Path="Application"> <Select>*</Select> </Query> </QueryList> ]]> </Query> <ReadExistingEvents>false</ReadExistingEvents> <TransportName>http</TransportName> <ContentFormat>RenderedText</ContentFormat> <Locale Language="en-US"/> <LogFile>ForwardedEvents</LogFile> <CredentialsType>Default</CredentialsType> <EventSources> <EventSource Enabled="true"> <Address>mySource.myDomain.com</Address> <UserName>myUserName</UserName> </EventSource> </EventSources> </Subscription>
El siguiente XML es un ejemplo de un archivo de configuración de suscripción que crea una suscripción iniciada por el origen para reenviar eventos desde el registro de eventos application de un equipo remoto al registro ForwardedEvents.
<Subscription xmlns="http://schemas.microsoft.com/2006/03/windows/events/subscription"> <SubscriptionId>SampleSISubscription</SubscriptionId> <SubscriptionType>SourceInitiated</SubscriptionType> <Description>Source Initiated Subscription Sample</Description> <Enabled>true</Enabled> <Uri>http://schemas.microsoft.com/wbem/wsman/1/windows/EventLog</Uri> <!-- Use Normal (default), Custom, MinLatency, MinBandwidth --> <ConfigurationMode>Custom</ConfigurationMode> <Delivery Mode="Push"> <Batching> <MaxItems>1</MaxItems> <MaxLatencyTime>1000</MaxLatencyTime> </Batching> <PushSettings> <Heartbeat Interval="60000"/> </PushSettings> </Delivery> <Expires>2018-01-01T00:00:00.000Z</Expires> <Query> <![CDATA[ <QueryList> <Query Path="Application"> <Select>Event[System/EventID='999']</Select> </Query> </QueryList> ]]> </Query> <ReadExistingEvents>true</ReadExistingEvents> <TransportName>http</TransportName> <ContentFormat>RenderedText</ContentFormat> <Locale Language="en-US"/> <LogFile>ForwardedEvents</LogFile> <AllowedSourceNonDomainComputers></AllowedSourceNonDomainComputers> <AllowedSourceDomainComputers>O:NSG:NSD:(A;;GA;;;DC)(A;;GA;;;NS)</AllowedSourceDomainComputers> </Subscription>
Nota
Al crear una suscripción iniciada por el origen, si AllowedSourceDomainComputers, AllowedSourceNonDomainComputers/IssuerCAList, AllowedSubjectList y DeniedSubjectList están vacíos, se proporcionará un valor predeterminado para AllowedSourceDomainComputers - "O:NSG:NSD:(A;; GA;;;;D C)(A;; GA;;; NS)". Este SDDL predeterminado concede a los miembros del grupo de dominios Equipos de dominio, así como al grupo de servicios de red local (para el reenviador local), la capacidad de generar eventos para esta suscripción.
-
/cun: USERNAME
-
Valor que establece las credenciales de usuario compartidas usadas para orígenes de eventos que no tienen sus propias credenciales de usuario. Este valor solo se aplica a las suscripciones iniciadas por el recopilador.
Nota
Si se especifica este parámetro, se omiten los valores de nombre de usuario y contraseña para orígenes de eventos individuales del archivo de configuración. Si desea usar credenciales diferentes para un origen de eventos específico, puede invalidar este valor especificando los parámetros /un y /up para un origen de eventos específico en la línea de comandos de otro comando set-subscription.
-
/cup: CONTRASEÑA
-
Valor que establece la contraseña de usuario para las credenciales de usuario compartidas. Cuando PASSWORD se establece en "*" (asterisco), la contraseña se lee desde la consola. Esta opción solo es válida cuando se especifica el parámetro /cun.
La sintaxis siguiente se usa para eliminar una suscripción de eventos.
wecutil { ds | delete-subscription } SUBSCRIPTION_ID
-
SUBSCRIPTION_ID
-
Cadena que identifica de forma única una suscripción. Este identificador se especifica en el elemento SubscriptionId del archivo de configuración XML que se usa para crear la suscripción. Se eliminará la suscripción identificada en este parámetro.
La sintaxis siguiente se usa para reintentar una suscripción inactiva intentando reactivar todos los orígenes de eventos especificados o estableciendo una conexión a cada origen de eventos y enviando una solicitud de suscripción remota al origen del evento. Los orígenes de eventos deshabilitados no se reintentan.
wecutil { rs | retry-subscription } SUBSCRIPTION_ID
[EVENT_SOURCE [EVENT_SOURCE] ...]
-
SUBSCRIPTION_ID
-
Cadena que identifica de forma única una suscripción. Este identificador se especifica en el elemento SubscriptionId del archivo de configuración XML que se usa para crear la suscripción. Se reintentará la suscripción identificada en este parámetro.
-
EVENT_SOURCE
-
Valor que identifica un equipo que es un origen de eventos para una suscripción de eventos. Este valor puede ser el nombre de dominio completo del equipo, el nombre NetBIOS o la dirección IP.
La sintaxis siguiente se usa para configurar el servicio Recopilador de eventos de Windows para asegurarse de que las suscripciones de eventos se pueden crear y mantener a través de reinicios del equipo. Esto incluye el procedimiento siguiente:
Para configurar el servicio recopilador de eventos de Windows
- Habilite el canal ForwardedEvents si está deshabilitado.
- Retrasar el inicio del servicio recopilador de eventos de Windows.
- Inicie el servicio Recopilador de eventos de Windows si no se está ejecutando.
wecutil { qc | quick-config } /q:VALUE
-
/q: VALUE
-
Valor que determina si el comando quick-config solicitará confirmación. VALUE puede ser true o false. Si VALUE es true, el comando solicitará confirmación. El valor predeterminado es false.
Requisito | Value |
---|---|
Cliente mínimo compatible |
Windows Vista |
Servidor mínimo compatible |
Windows Server 2008 |