Wecutil.exe
Wecutil.exe est un utilitaire Collecteur d’événements Windows qui permet à un administrateur de créer et de gérer des abonnements aux événements transférés à partir de sources d’événements distantes qui prennent en charge le protocole WS-Management. Les commandes, les options et les valeurs d’option ne respectent pas la casse pour cet utilitaire.
Si vous recevez un message indiquant « Le serveur RPC n’est pas disponible » ou « L’interface est inconnue » lorsque vous essayez d’exécuter wecutil, vous devez démarrer le service Collecteur d’événements Windows (wecsvc). Pour démarrer wecsvc, à une invite de commandes avec élévation de privilèges, tapez net start wecsvc.
La syntaxe suivante est utilisée pour répertorier les abonnements aux événements distants existants.
wecutil { es | enum-subscription }
Si vous utilisez un script pour obtenir les noms des abonnements à partir de la sortie, vous devez contourner les caractères de nomenclature UTF-8 dans la première ligne de la sortie. Le script suivant montre un exemple de la façon dont vous pouvez ignorer les caractères de nomenclature.
setlocal enabledelayedexpansion
set bomskipped=
for /f %%i in ('wecutil es') do (
set sub=%%i
if not defined bomskipped (
set sub=!sub:~3!
set bomskipped=yes
)
echo !sub!
)
goto :eof
endlocal
La syntaxe suivante est utilisée pour afficher les données de configuration de l’abonnement aux événements distants.
wecutil { gs | get-subscription } SUBSCRIPTION_ID [/f:VALUE
[/u:VALUE] ...]
-
SUBSCRIPTION_ID
-
Chaîne qui identifie de manière unique un abonnement. Cet identificateur est spécifié dans l’élément SubscriptionId dans le fichier de configuration XML utilisé pour créer l’abonnement.
-
/f:VALUE
-
Valeur qui spécifie la sortie des données de configuration de l’abonnement. VALUE peut être « XML » ou « Terse », et la valeur par défaut est « Terse ». Si VALUE est « XML », la sortie est imprimée au format « XML ». Si VALUE est « Terse », la sortie est imprimée en paires nom-valeur.
-
/u : VALEUR
-
Valeur qui spécifie si la sortie est au format Unicode. LA VALEUR peut être « true » ou « false ». Si VALUE a la valeur « true », la sortie est au format Unicode et si LA VALEUR est « false », la sortie n’est pas au format Unicode.
La syntaxe suivante est utilisée pour afficher le runtime d’abonnement status.
wecutil { gr | get-subscriptionruntimestatus } SUBSCRIPTION_ID
[EVENT_SOURCE [EVENT_SOURCE] ...]
-
SUBSCRIPTION_ID
-
Chaîne qui identifie de manière unique un abonnement. Cet identificateur est spécifié dans l’élément SubscriptionId dans le fichier de configuration XML utilisé pour créer l’abonnement.
-
EVENT_SOURCE
-
Valeur qui identifie un ordinateur qui est une source d’événements pour un abonnement aux événements. Cette valeur peut être le nom de domaine complet de l’ordinateur, le nom NetBIOS ou l’adresse IP.
La syntaxe suivante est utilisée pour définir les données de configuration de l’abonnement en modifiant les paramètres d’abonnement à partir de la ligne de commande ou à l’aide d’un fichier de configuration XML.
wecutil { ss | set_subscription } SUBSCRIPTION_ID [/e:VALUE]
[/esa:EVENT_SOURCE [/ese:VALUE] [/aes] [/res] [/un:USERNAME] [/up:PASSWORD]]
[/d:DESCRIPTION] [/uri:URI] [/cm:CONFIGURATION_MODE] [/ex:DATE_TIME]
[/q:QUERY] [/dia:DIALECT] [/tn:TRANSPORTNAME] [/tp:TRANSPORTPORT] [/dm:MODE]
[/dmi:NUMBER] [/dmlt:MS] [/hi:MS] [/cf:FORMAT] [/l:LOCALE] [/ree:[VALUE]]
[/lf:FILENAME] [/pn:PUBLISHER] [/hn:NAME] [/ct:TYPE]
[/cun:USERNAME] [/cup:PASSWORD]
[/ica:THUMBPRINTS] [/as:ALLOWED] [/ds:DENIED] [/adc:SDDL]
wecutil {ss | set_subscription } /c:CONGIG_FILE [/cun:USERNAME]
[/cup:PASSWORD]
Lorsqu’un nom d’utilisateur ou un mot de passe incorrect est spécifié dans la commande wecutil ss, aucune erreur n’est signalée tant que vous n’avez pas vu le status d’exécution de l’abonnement à l’aide de la commande gr wecutil.
-
SUBSCRIPTION_ID
-
Chaîne qui identifie de manière unique un abonnement. Cet identificateur est spécifié dans l’élément SubscriptionId dans le fichier de configuration XML utilisé pour créer l’abonnement.
-
/c : CONGIG_FILE
-
Valeur qui spécifie le chemin d’accès au fichier XML qui contient les informations de configuration de l’abonnement. Le chemin d’accès peut être absolu ou relatif au répertoire actuel. Ce paramètre ne peut être utilisé qu’avec les paramètres /cus et /cup facultatifs, et s’exclut mutuellement avec tous les autres paramètres.
-
/e : VALEUR
-
Valeur qui détermine s’il faut activer ou désactiver l’abonnement. LA VALEUR peut être true ou false. La valeur par défaut est true, ce qui active l’abonnement.
Notes
Lorsque vous désactivez un abonnement initié par un collecteur, la source d’événement devient inactive au lieu de la désactiver. Dans un abonnement initié par un collecteur, vous pouvez désactiver une source d’événements indépendamment de l’abonnement.
-
/d : DESCRIPTION
-
Valeur qui spécifie une description de l’abonnement aux événements.
-
/ex : DATE_TIME
-
Valeur qui spécifie l’heure d’expiration de l’abonnement. DATE_TIME est une valeur spécifiée au format de date-heure XML standard ou ISO8601 : « aaaa-MM-ddThh:mm:ss[.sss][Z] » où « T » est le séparateur d’heure et « Z » indique l’heure UTC. Par exemple, si DATE_TIME est « 2007-01-12T01:20:00 », l’heure d’expiration de l’abonnement est le 12 janvier 2007, 01:20.
-
/uri : URI
-
Valeur qui spécifie le type d’événements consommés par l’abonnement. L’adresse de l’ordinateur source d’événement ainsi que l’URI (Uniform Resource Identifier) identifient de manière unique la source des événements. La chaîne d’URI est utilisée pour toutes les adresses sources d’événements de l’abonnement.
-
/cm : CONFIGURATION_MODE
-
Valeur qui spécifie le mode de configuration de l’abonnement aux événements. CONFIGURATION_MODE peut être l’une des chaînes suivantes : « Normal », « Custom », « MinLatency » ou « MinBandwidth ». L’énumération EC_SUBSCRIPTION_CONFIGURATION_MODE définit les modes de configuration. Les paramètres /dm, /dmi, /hi et /dmlt ne peuvent être spécifiés que si le mode de configuration est défini sur Personnalisé.
-
/q : REQUÊTE
-
Valeur qui spécifie la chaîne de requête de l’abonnement. Le format de cette chaîne peut être différent pour différentes valeurs d’URI et s’applique à toutes les sources d’événements dans l’abonnement.
-
/dia: DIALECT
-
Valeur qui spécifie le dialecte utilisé par la chaîne de requête.
-
/cf : FORMAT
-
Valeur qui spécifie le format des événements retournés. FORMAT peut être « Events » ou « RenderedText ». Lorsque la valeur est « RenderedText », les événements sont retournés avec les chaînes localisées (telles que les chaînes de description d’événement) attachées aux événements. La valeur par défaut de FORMAT est « RenderedText ».
-
/l : PARAMÈTRES RÉGIONAUX
-
Valeur qui spécifie les paramètres régionaux pour la remise des chaînes localisées au format texte rendu. LOCALE est un identificateur de culture de langue/pays, par exemple, « EN-us ». Ce paramètre n’est valide que lorsque le paramètre /cf est défini sur « RenderedText ».
-
/ree:[VALUE]
-
Valeur qui spécifie les événements à remettre pour l’abonnement. LA VALEUR peut être true ou false. Lorsque LA VALEUR a la valeur true, tous les événements existants sont lus à partir des sources d’événements d’abonnement. Lorsque LA valeur est false, seuls les événements futurs (arrivants) sont remis. La valeur par défaut est true lorsque /ree est spécifié sans valeur, et la valeur par défaut est false si /ree n’est pas spécifié.
-
/lf : FILENAME
-
Valeur qui spécifie le journal des événements local utilisé pour stocker les événements reçus de l’abonnement aux événements.
-
/pn : PUBLISHER
-
Valeur qui spécifie le nom de l’éditeur d’événements (fournisseur). Il doit s’agir d’un éditeur qui possède ou importe le journal spécifié par le paramètre /lf.
-
/dm : MODE
-
Valeur qui spécifie le mode de remise de l’abonnement. MODE peut être push ou pull. Cette option n’est valide que si le paramètre /cm est défini sur Personnalisé.
-
/dmi : NOMBRE
-
Valeur qui spécifie le nombre maximal d’éléments pour la livraison par lots dans l’abonnement aux événements. Cette option n’est valide que si le paramètre /cm est défini sur Personnalisé.
-
/dmlt : MS
-
Valeur qui spécifie la latence maximale autorisée lors de la remise d’un lot d’événements. MS est le nombre de millisecondes autorisées. Ce paramètre n’est valide que si le paramètre /cm est défini sur Personnalisé.
-
/hi : MS
-
Valeur qui spécifie l’intervalle de pulsation pour l’abonnement. MS est le nombre de millisecondes utilisées dans l’intervalle. Ce paramètre n’est valide que si le paramètre /cm est défini sur Personnalisé.
-
/tn : TRANSPORTNAME
-
Valeur qui spécifie le nom du transport utilisé pour se connecter à l’ordinateur source d’événements distants.
-
/esa : EVENT_SOURCE
-
Valeur qui spécifie l’adresse d’un ordinateur source d’événements. EVENT_SOURCE est une chaîne qui identifie un ordinateur source d’événements à l’aide du nom de domaine complet de l’ordinateur, du nom NetBIOS ou de l’adresse IP. Ce paramètre peut être utilisé avec les paramètres /ese, /aes, /res ou /un et /up.
-
/ese : VALEUR
-
Valeur qui détermine s’il faut activer ou désactiver une source d’événement. LA VALEUR peut être true ou false. La valeur par défaut est true, ce qui active la source d’événement. Ce paramètre est utilisé uniquement si le paramètre /esa est utilisé.
-
/Aes
-
Valeur qui ajoute la source d’événement spécifiée par le paramètre /esa si la source d’événement ne fait pas déjà partie de l’abonnement aux événements. Si l’ordinateur spécifié par le paramètre /esa fait déjà partie de l’abonnement, une erreur s’affiche. Ce paramètre n’est autorisé que si le paramètre /esa est utilisé.
-
/Res
-
Valeur qui supprime la source d’événements spécifiée par le paramètre /esa si la source d’événement fait déjà partie de l’abonnement aux événements. Si l’ordinateur spécifié par le paramètre /esa ne fait pas partie de l’abonnement, une erreur s’affiche. Ce paramètre n’est autorisé que si le paramètre /esa est utilisé.
-
/un : NOM D’UTILISATEUR
-
Valeur qui spécifie le nom d’utilisateur utilisé dans les informations d’identification pour se connecter à la source d’événement spécifiée dans le paramètre /esa. Ce paramètre n’est autorisé que si le paramètre /esa est utilisé.
-
/up : MOT DE PASSE
-
Valeur qui spécifie le mot de passe du nom d’utilisateur spécifié dans le paramètre /un. Le nom d’utilisateur et les informations d’identification de mot de passe sont utilisés pour se connecter à la source d’événement spécifiée dans le paramètre /esa. Ce paramètre n’est autorisé que si le paramètre /un est utilisé.
-
/tp : TRANSPORTPORT
-
Valeur qui spécifie le numéro de port utilisé par le transport lors de la connexion à un ordinateur source d’événements distant.
-
/hn : NOM
-
Valeur qui spécifie le nom DNS de l’ordinateur local. Ce nom est utilisé par les sources d’événements distants pour transmettre les événements et doit être utilisé uniquement pour les abonnements push.
-
/ct : TYPE
-
Valeur qui spécifie le type d’informations d’identification utilisé pour accéder aux sources d’événements distants. TYPE peut être « default », « negotiate », « digest », « basic » ou « localmachine ». La valeur par défaut est « default ». Ces valeurs sont définies dans l’énumération EC_SUBSCRIPTION_CREDENTIALS_TYPE .
-
/cun : NOM D’UTILISATEUR
-
Valeur qui définit les informations d’identification utilisateur partagées utilisées pour les sources d’événements qui n’ont pas leurs propres informations d’identification utilisateur.
Notes
Si ce paramètre est utilisé avec l’option /c, les paramètres de nom d’utilisateur et de mot de passe pour les sources d’événements individuelles du fichier de configuration sont ignorés. Si vous souhaitez utiliser des informations d’identification différentes pour une source d’événement spécifique, vous pouvez remplacer cette valeur en spécifiant les paramètres /un et /up pour une source d’événement spécifique sur la ligne de commande d’une autre commande set-subscription.
-
/cup: PASSWORD
-
Valeur qui définit le mot de passe utilisateur pour les informations d’identification utilisateur partagées. Lorsque PASSWORD a la valeur * (astérisque), le mot de passe est lu à partir de la console. Cette option n’est valide que lorsque le paramètre /cun est spécifié.
-
/ica : EMPREINTES
-
Valeur qui définit la liste des empreintes de certificat d’émetteur, dans une liste séparée par des virgules.
Notes
Cette option est spécifique aux abonnements initiés par la source uniquement.
-
/as : AUTORISÉ
-
Valeur qui définit une liste de chaînes séparées par des virgules qui spécifient les noms DNS des ordinateurs autres que le domaine autorisés à lancer des abonnements. Les noms peuvent être spécifiés à l’aide de caractères génériques, tels que « *.mydomain.com ». Par défaut, cette liste est vide.
Notes
Cette option est spécifique aux abonnements initiés par la source uniquement.
-
/ds : REFUSÉ
-
Valeur qui définit une liste de chaînes séparées par des virgules qui spécifient les noms DNS des ordinateurs autres que le domaine qui ne sont pas autorisés à lancer des abonnements. Les noms peuvent être spécifiés à l’aide de caractères génériques, tels que « *.mydomain.com ». Par défaut, cette liste est vide.
Notes
Cette option est spécifique aux abonnements initiés par la source uniquement.
-
/adc : SDDL
-
Valeur qui définit une chaîne, au format SDDL, qui spécifie quels ordinateurs de domaine sont autorisés ou non à lancer des abonnements. La valeur par défaut consiste à autoriser tous les ordinateurs de domaine à lancer des abonnements.
Notes
Cette option est spécifique aux abonnements initiés par la source uniquement.
La syntaxe suivante est utilisée pour créer un abonnement aux événements pour les événements sur un ordinateur distant.
wecutil {cs | create-subscription } CONFIGURATION_FILE [/cun:USERNAME]
[/cup:PASSWORD]
Lorsqu’un nom d’utilisateur ou un mot de passe incorrect est spécifié dans la commande wecutil cs, aucune erreur n’est signalée tant que vous n’avez pas vu le status d’exécution de l’abonnement à l’aide de la commande gr wecutil.
-
CONFIGURATION_FILE
-
Valeur qui spécifie le chemin d’accès au fichier XML qui contient les informations de configuration de l’abonnement. Le chemin d’accès peut être absolu ou relatif au répertoire actuel.
Le code XML suivant est un exemple de fichier de configuration d’abonnement qui crée un abonnement initié par le collecteur pour transférer des événements du journal des événements d’application d’un ordinateur distant vers le journal ForwardedEvents.
<Subscription xmlns="http://schemas.microsoft.com/2006/03/windows/events/subscription"> <SubscriptionId>SampleCISubscription</SubscriptionId> <SubscriptionType>CollectorInitiated</SubscriptionType> <Description>Collector Initiated Subscription Sample</Description> <Enabled>true</Enabled> <Uri>http://schemas.microsoft.com/wbem/wsman/1/windows/EventLog</Uri> <!-- Use Normal (default), Custom, MinLatency, MinBandwidth --> <ConfigurationMode>Custom</ConfigurationMode> <Delivery Mode="Push"> <Batching> <MaxItems>20</MaxItems> <MaxLatencyTime>60000</MaxLatencyTime> </Batching> <PushSettings> <HostName>thisMachine.myDomain.com</HostName> <Heartbeat Interval="60000"/> </PushSettings> </Delivery> <Expires>2010-01-01T00:00:00.000Z</Expires> <Query> <![CDATA[ <QueryList> <Query Path="Application"> <Select>*</Select> </Query> </QueryList> ]]> </Query> <ReadExistingEvents>false</ReadExistingEvents> <TransportName>http</TransportName> <ContentFormat>RenderedText</ContentFormat> <Locale Language="en-US"/> <LogFile>ForwardedEvents</LogFile> <CredentialsType>Default</CredentialsType> <EventSources> <EventSource Enabled="true"> <Address>mySource.myDomain.com</Address> <UserName>myUserName</UserName> </EventSource> </EventSources> </Subscription>
Le code XML suivant est un exemple de fichier de configuration d’abonnement qui crée un abonnement initié par la source pour transférer des événements du journal des événements d’application d’un ordinateur distant vers le journal ForwardedEvents.
<Subscription xmlns="http://schemas.microsoft.com/2006/03/windows/events/subscription"> <SubscriptionId>SampleSISubscription</SubscriptionId> <SubscriptionType>SourceInitiated</SubscriptionType> <Description>Source Initiated Subscription Sample</Description> <Enabled>true</Enabled> <Uri>http://schemas.microsoft.com/wbem/wsman/1/windows/EventLog</Uri> <!-- Use Normal (default), Custom, MinLatency, MinBandwidth --> <ConfigurationMode>Custom</ConfigurationMode> <Delivery Mode="Push"> <Batching> <MaxItems>1</MaxItems> <MaxLatencyTime>1000</MaxLatencyTime> </Batching> <PushSettings> <Heartbeat Interval="60000"/> </PushSettings> </Delivery> <Expires>2018-01-01T00:00:00.000Z</Expires> <Query> <![CDATA[ <QueryList> <Query Path="Application"> <Select>Event[System/EventID='999']</Select> </Query> </QueryList> ]]> </Query> <ReadExistingEvents>true</ReadExistingEvents> <TransportName>http</TransportName> <ContentFormat>RenderedText</ContentFormat> <Locale Language="en-US"/> <LogFile>ForwardedEvents</LogFile> <AllowedSourceNonDomainComputers></AllowedSourceNonDomainComputers> <AllowedSourceDomainComputers>O:NSG:NSD:(A;;GA;;;DC)(A;;GA;;;NS)</AllowedSourceDomainComputers> </Subscription>
Notes
Lors de la création d’un abonnement initié par la source, si AllowedSourceDomainComputers, AllowedSourceNonDomainComputers/IssuerCAList, AllowedSubjectList et DeniedSubjectList sont tous vides, une valeur par défaut est fournie pour AllowedSourceDomainComputers : « O:NSG:NSD:(A;; GA;;;D C)(A;; GA;;; NS) ». Cette valeur SDDL par défaut accorde aux membres du groupe de domaine Ordinateurs de domaine, ainsi qu’au groupe de service réseau local (pour le redirecteur local), la possibilité de déclencher des événements pour cet abonnement.
-
/cun : NOM D’UTILISATEUR
-
Valeur qui définit les informations d’identification utilisateur partagées utilisées pour les sources d’événements qui n’ont pas leurs propres informations d’identification utilisateur. Cette valeur s’applique uniquement aux abonnements initiés par le collecteur.
Notes
Si ce paramètre est spécifié, les paramètres de nom d’utilisateur et de mot de passe pour les sources d’événements individuelles du fichier de configuration sont ignorés. Si vous souhaitez utiliser des informations d’identification différentes pour une source d’événement spécifique, vous pouvez remplacer cette valeur en spécifiant les paramètres /un et /up pour une source d’événement spécifique sur la ligne de commande d’une autre commande set-subscription.
-
/cup: PASSWORD
-
Valeur qui définit le mot de passe utilisateur pour les informations d’identification utilisateur partagées. Lorsque PASSWORD est défini sur « * » (astérisque), le mot de passe est lu à partir de la console. Cette option n’est valide que lorsque le paramètre /cun est spécifié.
La syntaxe suivante est utilisée pour supprimer un abonnement aux événements.
wecutil { ds | delete-subscription } SUBSCRIPTION_ID
-
SUBSCRIPTION_ID
-
Chaîne qui identifie de manière unique un abonnement. Cet identificateur est spécifié dans l’élément SubscriptionId dans le fichier de configuration XML utilisé pour créer l’abonnement. L’abonnement identifié dans ce paramètre sera supprimé.
La syntaxe suivante est utilisée pour réessayer un abonnement inactif en tentant de réactiver toutes les sources d’événements ou spécifiées en établissant une connexion à chaque source d’événements et en envoyant une demande d’abonnement à distance à la source d’événement. Les sources d’événements désactivées ne sont pas retentées.
wecutil { rs | retry-subscription } SUBSCRIPTION_ID
[EVENT_SOURCE [EVENT_SOURCE] ...]
-
SUBSCRIPTION_ID
-
Chaîne qui identifie de manière unique un abonnement. Cet identificateur est spécifié dans l’élément SubscriptionId dans le fichier de configuration XML utilisé pour créer l’abonnement. L’abonnement identifié dans ce paramètre sera retenté.
-
EVENT_SOURCE
-
Valeur qui identifie un ordinateur qui est une source d’événements pour un abonnement aux événements. Cette valeur peut être le nom de domaine complet de l’ordinateur, le nom NetBIOS ou l’adresse IP.
La syntaxe suivante est utilisée pour configurer le service Collecteur d’événements Windows afin de garantir que les abonnements aux événements peuvent être créés et maintenus via des redémarrages d’ordinateur. Cela inclut la procédure suivante :
Pour configurer le service Collecteur d’événements Windows
- Activez le canal ForwardedEvents s’il est désactivé.
- Retarder le démarrage du service Collecteur d’événements Windows.
- Démarrez le service Collecteur d’événements Windows s’il n’est pas en cours d’exécution.
wecutil { qc | quick-config } /q:VALUE
-
/q : VALEUR
-
Valeur qui détermine si la commande quick-config demande une confirmation. LA VALEUR peut être true ou false. Si la valeur est true, la commande vous invite à confirmer. La valeur par défaut est false.
Condition requise | Valeur |
---|---|
Client minimal pris en charge |
Windows Vista |
Serveur minimal pris en charge |
Windows Server 2008 |