Lire en anglais

Partager via


Wecutil.exe

Wecutil.exe est un utilitaire Collecteur d’événements Windows qui permet à un administrateur de créer et de gérer des abonnements aux événements transférés à partir de sources d’événements distantes qui prennent en charge le protocole WS-Management. Les commandes, les options et les valeurs d’option ne respectent pas la casse pour cet utilitaire.

Si vous recevez un message indiquant « Le serveur RPC n’est pas disponible » ou « L’interface est inconnue » lorsque vous essayez d’exécuter wecutil, vous devez démarrer le service Collecteur d’événements Windows (wecsvc). Pour démarrer wecsvc, à une invite de commandes avec élévation de privilèges, tapez net start wecsvc.

Répertorier les abonnements existants

La syntaxe suivante est utilisée pour répertorier les abonnements aux événements distants existants.

wecutil { es | enum-subscription }

Si vous utilisez un script pour obtenir les noms des abonnements à partir de la sortie, vous devez contourner les caractères de nomenclature UTF-8 dans la première ligne de la sortie. Le script suivant montre un exemple de la façon dont vous pouvez ignorer les caractères de nomenclature.

setlocal enabledelayedexpansion

set bomskipped=
for /f %%i in ('wecutil es') do (
    set sub=%%i
    if not defined bomskipped (
        set sub=!sub:~3!
        set bomskipped=yes
    )
    echo !sub!
)
goto :eof

endlocal

Obtenir la configuration de l’abonnement

La syntaxe suivante est utilisée pour afficher les données de configuration de l’abonnement aux événements distants.

wecutil { gs | get-subscription } SUBSCRIPTION_ID [/f:VALUE 
[/u:VALUE] ...]

Obtenir les paramètres de configuration

SUBSCRIPTION_ID

Chaîne qui identifie de manière unique un abonnement. Cet identificateur est spécifié dans l’élément SubscriptionId dans le fichier de configuration XML utilisé pour créer l’abonnement.

/f:VALUE

Valeur qui spécifie la sortie des données de configuration de l’abonnement. VALUE peut être « XML » ou « Terse », et la valeur par défaut est « Terse ». Si VALUE est « XML », la sortie est imprimée au format « XML ». Si VALUE est « Terse », la sortie est imprimée en paires nom-valeur.

/u : VALEUR

Valeur qui spécifie si la sortie est au format Unicode. LA VALEUR peut être « true » ou « false ». Si VALUE a la valeur « true », la sortie est au format Unicode et si LA VALEUR est « false », la sortie n’est pas au format Unicode.

Obtenir les status du runtime d’abonnement

La syntaxe suivante est utilisée pour afficher le runtime d’abonnement status.

wecutil { gr | get-subscriptionruntimestatus } SUBSCRIPTION_ID
 [EVENT_SOURCE [EVENT_SOURCE] ...]

Obtenir les paramètres d’état

SUBSCRIPTION_ID

Chaîne qui identifie de manière unique un abonnement. Cet identificateur est spécifié dans l’élément SubscriptionId dans le fichier de configuration XML utilisé pour créer l’abonnement.

EVENT_SOURCE

Valeur qui identifie un ordinateur qui est une source d’événements pour un abonnement aux événements. Cette valeur peut être le nom de domaine complet de l’ordinateur, le nom NetBIOS ou l’adresse IP.

Définir les informations de configuration de l’abonnement

La syntaxe suivante est utilisée pour définir les données de configuration de l’abonnement en modifiant les paramètres d’abonnement à partir de la ligne de commande ou à l’aide d’un fichier de configuration XML.

wecutil { ss | set_subscription } SUBSCRIPTION_ID [/e:VALUE] 
[/esa:EVENT_SOURCE [/ese:VALUE] [/aes] [/res] [/un:USERNAME] [/up:PASSWORD]] 
[/d:DESCRIPTION] [/uri:URI] [/cm:CONFIGURATION_MODE] [/ex:DATE_TIME] 
[/q:QUERY] [/dia:DIALECT] [/tn:TRANSPORTNAME] [/tp:TRANSPORTPORT] [/dm:MODE] 
[/dmi:NUMBER] [/dmlt:MS] [/hi:MS] [/cf:FORMAT] [/l:LOCALE] [/ree:[VALUE]] 
[/lf:FILENAME] [/pn:PUBLISHER] [/hn:NAME] [/ct:TYPE] 
[/cun:USERNAME] [/cup:PASSWORD] 
[/ica:THUMBPRINTS] [/as:ALLOWED] [/ds:DENIED] [/adc:SDDL]

wecutil {ss | set_subscription } /c:CONGIG_FILE [/cun:USERNAME] 
[/cup:PASSWORD]

Notes

Lorsqu’un nom d’utilisateur ou un mot de passe incorrect est spécifié dans la commande wecutil ss, aucune erreur n’est signalée tant que vous n’avez pas vu le status d’exécution de l’abonnement à l’aide de la commande gr wecutil.

Définir les paramètres de configuration

SUBSCRIPTION_ID

Chaîne qui identifie de manière unique un abonnement. Cet identificateur est spécifié dans l’élément SubscriptionId dans le fichier de configuration XML utilisé pour créer l’abonnement.

/c : CONGIG_FILE

Valeur qui spécifie le chemin d’accès au fichier XML qui contient les informations de configuration de l’abonnement. Le chemin d’accès peut être absolu ou relatif au répertoire actuel. Ce paramètre ne peut être utilisé qu’avec les paramètres /cus et /cup facultatifs, et s’exclut mutuellement avec tous les autres paramètres.

/e : VALEUR

Valeur qui détermine s’il faut activer ou désactiver l’abonnement. LA VALEUR peut être true ou false. La valeur par défaut est true, ce qui active l’abonnement.

Notes

Lorsque vous désactivez un abonnement initié par un collecteur, la source d’événement devient inactive au lieu de la désactiver. Dans un abonnement initié par un collecteur, vous pouvez désactiver une source d’événements indépendamment de l’abonnement.

/d : DESCRIPTION

Valeur qui spécifie une description de l’abonnement aux événements.

/ex : DATE_TIME

Valeur qui spécifie l’heure d’expiration de l’abonnement. DATE_TIME est une valeur spécifiée au format de date-heure XML standard ou ISO8601 : « aaaa-MM-ddThh:mm:ss[.sss][Z] » où « T » est le séparateur d’heure et « Z » indique l’heure UTC. Par exemple, si DATE_TIME est « 2007-01-12T01:20:00 », l’heure d’expiration de l’abonnement est le 12 janvier 2007, 01:20.

/uri : URI

Valeur qui spécifie le type d’événements consommés par l’abonnement. L’adresse de l’ordinateur source d’événement ainsi que l’URI (Uniform Resource Identifier) identifient de manière unique la source des événements. La chaîne d’URI est utilisée pour toutes les adresses sources d’événements de l’abonnement.

/cm : CONFIGURATION_MODE

Valeur qui spécifie le mode de configuration de l’abonnement aux événements. CONFIGURATION_MODE peut être l’une des chaînes suivantes : « Normal », « Custom », « MinLatency » ou « MinBandwidth ». L’énumération EC_SUBSCRIPTION_CONFIGURATION_MODE définit les modes de configuration. Les paramètres /dm, /dmi, /hi et /dmlt ne peuvent être spécifiés que si le mode de configuration est défini sur Personnalisé.

/q : REQUÊTE

Valeur qui spécifie la chaîne de requête de l’abonnement. Le format de cette chaîne peut être différent pour différentes valeurs d’URI et s’applique à toutes les sources d’événements dans l’abonnement.

/dia: DIALECT

Valeur qui spécifie le dialecte utilisé par la chaîne de requête.

/cf : FORMAT

Valeur qui spécifie le format des événements retournés. FORMAT peut être « Events » ou « RenderedText ». Lorsque la valeur est « RenderedText », les événements sont retournés avec les chaînes localisées (telles que les chaînes de description d’événement) attachées aux événements. La valeur par défaut de FORMAT est « RenderedText ».

/l : PARAMÈTRES RÉGIONAUX

Valeur qui spécifie les paramètres régionaux pour la remise des chaînes localisées au format texte rendu. LOCALE est un identificateur de culture de langue/pays, par exemple, « EN-us ». Ce paramètre n’est valide que lorsque le paramètre /cf est défini sur « RenderedText ».

/ree:[VALUE]

Valeur qui spécifie les événements à remettre pour l’abonnement. LA VALEUR peut être true ou false. Lorsque LA VALEUR a la valeur true, tous les événements existants sont lus à partir des sources d’événements d’abonnement. Lorsque LA valeur est false, seuls les événements futurs (arrivants) sont remis. La valeur par défaut est true lorsque /ree est spécifié sans valeur, et la valeur par défaut est false si /ree n’est pas spécifié.

/lf : FILENAME

Valeur qui spécifie le journal des événements local utilisé pour stocker les événements reçus de l’abonnement aux événements.

/pn : PUBLISHER

Valeur qui spécifie le nom de l’éditeur d’événements (fournisseur). Il doit s’agir d’un éditeur qui possède ou importe le journal spécifié par le paramètre /lf.

/dm : MODE

Valeur qui spécifie le mode de remise de l’abonnement. MODE peut être push ou pull. Cette option n’est valide que si le paramètre /cm est défini sur Personnalisé.

/dmi : NOMBRE

Valeur qui spécifie le nombre maximal d’éléments pour la livraison par lots dans l’abonnement aux événements. Cette option n’est valide que si le paramètre /cm est défini sur Personnalisé.

/dmlt : MS

Valeur qui spécifie la latence maximale autorisée lors de la remise d’un lot d’événements. MS est le nombre de millisecondes autorisées. Ce paramètre n’est valide que si le paramètre /cm est défini sur Personnalisé.

/hi : MS

Valeur qui spécifie l’intervalle de pulsation pour l’abonnement. MS est le nombre de millisecondes utilisées dans l’intervalle. Ce paramètre n’est valide que si le paramètre /cm est défini sur Personnalisé.

/tn : TRANSPORTNAME

Valeur qui spécifie le nom du transport utilisé pour se connecter à l’ordinateur source d’événements distants.

/esa : EVENT_SOURCE

Valeur qui spécifie l’adresse d’un ordinateur source d’événements. EVENT_SOURCE est une chaîne qui identifie un ordinateur source d’événements à l’aide du nom de domaine complet de l’ordinateur, du nom NetBIOS ou de l’adresse IP. Ce paramètre peut être utilisé avec les paramètres /ese, /aes, /res ou /un et /up.

/ese : VALEUR

Valeur qui détermine s’il faut activer ou désactiver une source d’événement. LA VALEUR peut être true ou false. La valeur par défaut est true, ce qui active la source d’événement. Ce paramètre est utilisé uniquement si le paramètre /esa est utilisé.

/Aes

Valeur qui ajoute la source d’événement spécifiée par le paramètre /esa si la source d’événement ne fait pas déjà partie de l’abonnement aux événements. Si l’ordinateur spécifié par le paramètre /esa fait déjà partie de l’abonnement, une erreur s’affiche. Ce paramètre n’est autorisé que si le paramètre /esa est utilisé.

/Res

Valeur qui supprime la source d’événements spécifiée par le paramètre /esa si la source d’événement fait déjà partie de l’abonnement aux événements. Si l’ordinateur spécifié par le paramètre /esa ne fait pas partie de l’abonnement, une erreur s’affiche. Ce paramètre n’est autorisé que si le paramètre /esa est utilisé.

/un : NOM D’UTILISATEUR

Valeur qui spécifie le nom d’utilisateur utilisé dans les informations d’identification pour se connecter à la source d’événement spécifiée dans le paramètre /esa. Ce paramètre n’est autorisé que si le paramètre /esa est utilisé.

/up : MOT DE PASSE

Valeur qui spécifie le mot de passe du nom d’utilisateur spécifié dans le paramètre /un. Le nom d’utilisateur et les informations d’identification de mot de passe sont utilisés pour se connecter à la source d’événement spécifiée dans le paramètre /esa. Ce paramètre n’est autorisé que si le paramètre /un est utilisé.

/tp : TRANSPORTPORT

Valeur qui spécifie le numéro de port utilisé par le transport lors de la connexion à un ordinateur source d’événements distant.

/hn : NOM

Valeur qui spécifie le nom DNS de l’ordinateur local. Ce nom est utilisé par les sources d’événements distants pour transmettre les événements et doit être utilisé uniquement pour les abonnements push.

/ct : TYPE

Valeur qui spécifie le type d’informations d’identification utilisé pour accéder aux sources d’événements distants. TYPE peut être « default », « negotiate », « digest », « basic » ou « localmachine ». La valeur par défaut est « default ». Ces valeurs sont définies dans l’énumération EC_SUBSCRIPTION_CREDENTIALS_TYPE .

/cun : NOM D’UTILISATEUR

Valeur qui définit les informations d’identification utilisateur partagées utilisées pour les sources d’événements qui n’ont pas leurs propres informations d’identification utilisateur.

Notes

Si ce paramètre est utilisé avec l’option /c, les paramètres de nom d’utilisateur et de mot de passe pour les sources d’événements individuelles du fichier de configuration sont ignorés. Si vous souhaitez utiliser des informations d’identification différentes pour une source d’événement spécifique, vous pouvez remplacer cette valeur en spécifiant les paramètres /un et /up pour une source d’événement spécifique sur la ligne de commande d’une autre commande set-subscription.

/cup: PASSWORD

Valeur qui définit le mot de passe utilisateur pour les informations d’identification utilisateur partagées. Lorsque PASSWORD a la valeur * (astérisque), le mot de passe est lu à partir de la console. Cette option n’est valide que lorsque le paramètre /cun est spécifié.

/ica : EMPREINTES

Valeur qui définit la liste des empreintes de certificat d’émetteur, dans une liste séparée par des virgules.

Notes

Cette option est spécifique aux abonnements initiés par la source uniquement.

/as : AUTORISÉ

Valeur qui définit une liste de chaînes séparées par des virgules qui spécifient les noms DNS des ordinateurs autres que le domaine autorisés à lancer des abonnements. Les noms peuvent être spécifiés à l’aide de caractères génériques, tels que « *.mydomain.com ». Par défaut, cette liste est vide.

Notes

Cette option est spécifique aux abonnements initiés par la source uniquement.

/ds : REFUSÉ

Valeur qui définit une liste de chaînes séparées par des virgules qui spécifient les noms DNS des ordinateurs autres que le domaine qui ne sont pas autorisés à lancer des abonnements. Les noms peuvent être spécifiés à l’aide de caractères génériques, tels que « *.mydomain.com ». Par défaut, cette liste est vide.

Notes

Cette option est spécifique aux abonnements initiés par la source uniquement.

/adc : SDDL

Valeur qui définit une chaîne, au format SDDL, qui spécifie quels ordinateurs de domaine sont autorisés ou non à lancer des abonnements. La valeur par défaut consiste à autoriser tous les ordinateurs de domaine à lancer des abonnements.

Notes

Cette option est spécifique aux abonnements initiés par la source uniquement.

Créer un abonnement

La syntaxe suivante est utilisée pour créer un abonnement aux événements pour les événements sur un ordinateur distant.

wecutil {cs | create-subscription } CONFIGURATION_FILE [/cun:USERNAME]
[/cup:PASSWORD] 

Notes

Lorsqu’un nom d’utilisateur ou un mot de passe incorrect est spécifié dans la commande wecutil cs, aucune erreur n’est signalée tant que vous n’avez pas vu le status d’exécution de l’abonnement à l’aide de la commande gr wecutil.

Paramètres de création

CONFIGURATION_FILE

Valeur qui spécifie le chemin d’accès au fichier XML qui contient les informations de configuration de l’abonnement. Le chemin d’accès peut être absolu ou relatif au répertoire actuel.

Le code XML suivant est un exemple de fichier de configuration d’abonnement qui crée un abonnement initié par le collecteur pour transférer des événements du journal des événements d’application d’un ordinateur distant vers le journal ForwardedEvents.

<Subscription xmlns="http://schemas.microsoft.com/2006/03/windows/events/subscription">
    <SubscriptionId>SampleCISubscription</SubscriptionId>
    <SubscriptionType>CollectorInitiated</SubscriptionType>
    <Description>Collector Initiated Subscription Sample</Description>
    <Enabled>true</Enabled>
    <Uri>http://schemas.microsoft.com/wbem/wsman/1/windows/EventLog</Uri>

    <!-- Use Normal (default), Custom, MinLatency, MinBandwidth -->
    <ConfigurationMode>Custom</ConfigurationMode>

    <Delivery Mode="Push">
        <Batching>
            <MaxItems>20</MaxItems>
            <MaxLatencyTime>60000</MaxLatencyTime>
        </Batching>
        <PushSettings>
            <HostName>thisMachine.myDomain.com</HostName>
            <Heartbeat Interval="60000"/>
        </PushSettings>
    </Delivery>

    <Expires>2010-01-01T00:00:00.000Z</Expires>

    <Query>
        <![CDATA[
            <QueryList>
                <Query Path="Application">
                    <Select>*</Select>
                </Query>
            </QueryList>
        ]]>
    </Query>

    <ReadExistingEvents>false</ReadExistingEvents>
    <TransportName>http</TransportName>
    <ContentFormat>RenderedText</ContentFormat>
    <Locale Language="en-US"/>
    <LogFile>ForwardedEvents</LogFile>
    <CredentialsType>Default</CredentialsType>

    <EventSources>
        <EventSource Enabled="true">
            <Address>mySource.myDomain.com</Address>
            <UserName>myUserName</UserName>
        </EventSource>
    </EventSources>
</Subscription>

Le code XML suivant est un exemple de fichier de configuration d’abonnement qui crée un abonnement initié par la source pour transférer des événements du journal des événements d’application d’un ordinateur distant vers le journal ForwardedEvents.

<Subscription xmlns="http://schemas.microsoft.com/2006/03/windows/events/subscription">
    <SubscriptionId>SampleSISubscription</SubscriptionId>
    <SubscriptionType>SourceInitiated</SubscriptionType>
    <Description>Source Initiated Subscription Sample</Description>
    <Enabled>true</Enabled>
    <Uri>http://schemas.microsoft.com/wbem/wsman/1/windows/EventLog</Uri>

    <!-- Use Normal (default), Custom, MinLatency, MinBandwidth -->
    <ConfigurationMode>Custom</ConfigurationMode>

    <Delivery Mode="Push">
        <Batching>
            <MaxItems>1</MaxItems>
            <MaxLatencyTime>1000</MaxLatencyTime>
        </Batching>
        <PushSettings>
            <Heartbeat Interval="60000"/>
        </PushSettings>
    </Delivery>

    <Expires>2018-01-01T00:00:00.000Z</Expires>

    <Query>
        <![CDATA[
            <QueryList>
                <Query Path="Application">
                    <Select>Event[System/EventID='999']</Select>
                </Query>
            </QueryList>
        ]]>
    </Query>

    <ReadExistingEvents>true</ReadExistingEvents>
    <TransportName>http</TransportName>
    <ContentFormat>RenderedText</ContentFormat>
    <Locale Language="en-US"/>
    <LogFile>ForwardedEvents</LogFile>
    <AllowedSourceNonDomainComputers></AllowedSourceNonDomainComputers>
    <AllowedSourceDomainComputers>O:NSG:NSD:(A;;GA;;;DC)(A;;GA;;;NS)</AllowedSourceDomainComputers>
</Subscription>

Notes

Lors de la création d’un abonnement initié par la source, si AllowedSourceDomainComputers, AllowedSourceNonDomainComputers/IssuerCAList, AllowedSubjectList et DeniedSubjectList sont tous vides, une valeur par défaut est fournie pour AllowedSourceDomainComputers : « O:NSG:NSD:(A;; GA;;;D C)(A;; GA;;; NS) ». Cette valeur SDDL par défaut accorde aux membres du groupe de domaine Ordinateurs de domaine, ainsi qu’au groupe de service réseau local (pour le redirecteur local), la possibilité de déclencher des événements pour cet abonnement.

/cun : NOM D’UTILISATEUR

Valeur qui définit les informations d’identification utilisateur partagées utilisées pour les sources d’événements qui n’ont pas leurs propres informations d’identification utilisateur. Cette valeur s’applique uniquement aux abonnements initiés par le collecteur.

Notes

Si ce paramètre est spécifié, les paramètres de nom d’utilisateur et de mot de passe pour les sources d’événements individuelles du fichier de configuration sont ignorés. Si vous souhaitez utiliser des informations d’identification différentes pour une source d’événement spécifique, vous pouvez remplacer cette valeur en spécifiant les paramètres /un et /up pour une source d’événement spécifique sur la ligne de commande d’une autre commande set-subscription.

/cup: PASSWORD

Valeur qui définit le mot de passe utilisateur pour les informations d’identification utilisateur partagées. Lorsque PASSWORD est défini sur « * » (astérisque), le mot de passe est lu à partir de la console. Cette option n’est valide que lorsque le paramètre /cun est spécifié.

Supprimer un abonnement

La syntaxe suivante est utilisée pour supprimer un abonnement aux événements.

wecutil { ds | delete-subscription } SUBSCRIPTION_ID

Paramètres de suppression

SUBSCRIPTION_ID

Chaîne qui identifie de manière unique un abonnement. Cet identificateur est spécifié dans l’élément SubscriptionId dans le fichier de configuration XML utilisé pour créer l’abonnement. L’abonnement identifié dans ce paramètre sera supprimé.

Réessayer un abonnement

La syntaxe suivante est utilisée pour réessayer un abonnement inactif en tentant de réactiver toutes les sources d’événements ou spécifiées en établissant une connexion à chaque source d’événements et en envoyant une demande d’abonnement à distance à la source d’événement. Les sources d’événements désactivées ne sont pas retentées.

wecutil { rs | retry-subscription } SUBSCRIPTION_ID 
[EVENT_SOURCE [EVENT_SOURCE] ...]

Paramètres de nouvelle tentative

SUBSCRIPTION_ID

Chaîne qui identifie de manière unique un abonnement. Cet identificateur est spécifié dans l’élément SubscriptionId dans le fichier de configuration XML utilisé pour créer l’abonnement. L’abonnement identifié dans ce paramètre sera retenté.

EVENT_SOURCE

Valeur qui identifie un ordinateur qui est une source d’événements pour un abonnement aux événements. Cette valeur peut être le nom de domaine complet de l’ordinateur, le nom NetBIOS ou l’adresse IP.

Configurer le service Collecteur d’événements Windows

La syntaxe suivante est utilisée pour configurer le service Collecteur d’événements Windows afin de garantir que les abonnements aux événements peuvent être créés et maintenus via des redémarrages d’ordinateur. Cela inclut la procédure suivante :

Pour configurer le service Collecteur d’événements Windows

  1. Activez le canal ForwardedEvents s’il est désactivé.
  2. Retarder le démarrage du service Collecteur d’événements Windows.
  3. Démarrez le service Collecteur d’événements Windows s’il n’est pas en cours d’exécution.
wecutil { qc | quick-config } /q:VALUE

Configurer les paramètres du collecteur d’événements

/q : VALEUR

Valeur qui détermine si la commande quick-config demande une confirmation. LA VALEUR peut être true ou false. Si la valeur est true, la commande vous invite à confirmer. La valeur par défaut est false.

Spécifications

Condition requise Valeur
Client minimal pris en charge
Windows Vista
Serveur minimal pris en charge
Windows Server 2008