次の方法で共有

Wecutil.exe

  • [アーティクル]

Wecutil.exeは、管理者が WS-Management プロトコルをサポートするリモート イベント ソースから転送されたイベントへのサブスクリプションを作成および管理できるようにする Windows イベント コレクター ユーティリティです。 コマンド、オプション、およびオプションの値は、このユーティリティでは大文字と小文字が区別されません。

wecutil を実行しようとしたときに "RPC サーバーが使用できません" または "インターフェイスが不明です" というメッセージが表示された場合は、Windows イベント コレクター サービス (wecsvc) を開始する必要があります。 wecsvc を起動するには、管理者特権のコマンド プロンプトで 「net start wecsvc」と入力します。

既存のサブスクリプションを一覧表示する

次の構文を使用して、既存のリモート イベント サブスクリプションを一覧表示します。

wecutil { es | enum-subscription }

スクリプトを使用して出力からサブスクリプションの名前を取得する場合は、出力の最初の行で UTF-8 BOM 文字をバイパスする必要があります。 次のスクリプトは、BOM 文字をスキップする方法の例を示しています。

setlocal enabledelayedexpansion

set bomskipped=
for /f %%i in ('wecutil es') do (
    set sub=%%i
    if not defined bomskipped (
        set sub=!sub:~3!
        set bomskipped=yes
    )
    echo !sub!
)
goto :eof

endlocal

サブスクリプション構成を取得する

リモート イベント サブスクリプション構成データを表示するには、次の構文を使用します。

wecutil { gs | get-subscription } SUBSCRIPTION_ID [/f:VALUE 
[/u:VALUE] ...]

構成パラメーターの取得

SUBSCRIPTION_ID

サブスクリプションを一意に識別する文字列。 この識別子は、サブスクリプションの作成に使用される XML 構成ファイルの SubscriptionId 要素で指定されます。

/f:VALUE

サブスクリプション構成データの出力を示す 値。 VALUE には "XML" または "Terse" を指定でき、既定値は "Terse" です。 VALUE が "XML" の場合、出力は "XML" 形式で出力されます。 VALUE が "Terse" の場合、出力は名前と値のペアで出力されます。

/u: VALUE

出力が Unicode 形式であるかどうかを示す 値。 VALUE には、"true" または "false" を指定できます。 VALUE が "true" の場合、出力は Unicode 形式で、VALUE が "false" の場合、出力は Unicode 形式ではありません。

サブスクリプション ランタイムの状態を取得する

サブスクリプション ランタイムの状態を表示するには、次の構文を使用します。

wecutil { gr | get-subscriptionruntimestatus } SUBSCRIPTION_ID
 [EVENT_SOURCE [EVENT_SOURCE] ...]

状態パラメーターの取得

SUBSCRIPTION_ID

サブスクリプションを一意に識別する文字列。 この識別子は、サブスクリプションの作成に使用される XML 構成ファイルの SubscriptionId 要素で指定されます。

EVENT_SOURCE

イベント サブスクリプションのイベント ソースであるコンピューターを識別する値。 この値には、コンピューターの完全修飾ドメイン名、NetBIOS 名、または IP アドレスを指定できます。

サブスクリプション構成情報の設定

次の構文は、コマンド ラインからサブスクリプション パラメーターを変更するか、XML 構成ファイルを使用して、サブスクリプション構成データを設定するために使用されます。

wecutil { ss | set_subscription } SUBSCRIPTION_ID [/e:VALUE] 
[/esa:EVENT_SOURCE [/ese:VALUE] [/aes] [/res] [/un:USERNAME] [/up:PASSWORD]] 
[/d:DESCRIPTION] [/uri:URI] [/cm:CONFIGURATION_MODE] [/ex:DATE_TIME] 
[/q:QUERY] [/dia:DIALECT] [/tn:TRANSPORTNAME] [/tp:TRANSPORTPORT] [/dm:MODE] 
[/dmi:NUMBER] [/dmlt:MS] [/hi:MS] [/cf:FORMAT] [/l:LOCALE] [/ree:[VALUE]] 
[/lf:FILENAME] [/pn:PUBLISHER] [/hn:NAME] [/ct:TYPE] 
[/cun:USERNAME] [/cup:PASSWORD] 
[/ica:THUMBPRINTS] [/as:ALLOWED] [/ds:DENIED] [/adc:SDDL]

wecutil {ss | set_subscription } /c:CONGIG_FILE [/cun:USERNAME] 
[/cup:PASSWORD]

解説

wecutil ss コマンドで正しくないユーザー名またはパスワードが指定されている場合、wecutil gr コマンドを使用してサブスクリプションのランタイム状態を表示するまでエラーは報告されません。

構成パラメーターの設定

SUBSCRIPTION_ID

サブスクリプションを一意に識別する文字列。 この識別子は、サブスクリプションの作成に使用される XML 構成ファイルの SubscriptionId 要素で指定されます。

/c: CONGIG_FILE

サブスクリプション構成情報を含む XML ファイルへのパスを指定する 値。 絶対パスでも、現在のディレクトリを基準とする相対パスでもかまいません。 このパラメーターは、省略可能な /cus パラメーターと /cup パラメーターでのみ使用でき、他のすべてのパラメーターと相互に排他的です。

/e: VALUE

サブスクリプションを有効または無効にするかどうかを決定する値。 VALUE には true または false を指定できます。 既定値は true で、サブスクリプションを有効にします。

Note

コレクターによって開始されたサブスクリプションを無効にすると、イベント ソースは無効ではなく非アクティブになります。 コレクターによって開始されたサブスクリプションでは、サブスクリプションとは無関係にイベント ソースを無効にすることができます。

/d: DESCRIPTION

イベント サブスクリプションの説明を示す 値。

/ex: DATE_TIME

サブスクリプションの有効期限を示す 値。 DATE_TIME は、標準 XML または ISO8601 日時形式で指定された値です。"yyyy-MM-ddThh:mm:ss[.sss][Z]" ("T" は時刻区切り記号、"Z" は UTC 時刻を示します)。 たとえば、 DATE_TIME が "2007-01-12T01:20:00" の場合、サブスクリプションの有効期限は 2007 年 1 月 12 日 01:20 です。

/uri: URI

サブスクリプションで使用されるイベントの種類を示す 値。 イベント ソース コンピューターのアドレスと UNIFORM リソース識別子 (URI) は、イベントのソースを一意に識別します。 この URI 文字列は、サブスクリプション内のすべてのイベント ソース アドレスに使用されます。

/cm: CONFIGURATION_MODE

イベント サブスクリプションの構成モードを示す 値。 CONFIGURATION_MODE には、"Normal"、"Custom"、"MinLatency"、または "MinBandwidth" のいずれかの文字列を指定できます。 EC_SUBSCRIPTION_CONFIGURATION_MODE列挙は、構成モードを定義します。 /dm、/dmi、/hi、および /dmlt パラメーターは、構成モードが Custom に設定されている場合にのみ指定できます。

/q: QUERY

サブスクリプションのクエリ文字列を指定する 値。 この文字列の形式は、URI 値ごとに異なる場合があり、サブスクリプション内のすべてのイベント ソースに適用されます。

/dia: DIALECT

クエリ文字列で使用される言語を指定する 値。

/cf: FORMAT

返されるイベントの形式を示す 値。 FORMAT には、"Events" または "RenderedText" を指定できます。 値が "RenderedText" の場合、イベントに関連付けられたローカライズされた文字列 (イベントの説明文字列など) を使用してイベントが返されます。 FORMAT の既定値は "RenderedText" です。

/l: LOCALE

レンダリングされたテキスト形式でローカライズされた文字列を配信するためのロケールを指定する 値。 LOCALE は、"EN-us" などの言語/国カルチャ識別子です。 このパラメーターは、/cf パラメーターが "RenderedText" に設定されている場合にのみ有効です。

/ree:[VALUE]

サブスクリプションに配信するイベントを指定する 値。 VALUE には true または false を指定できます。 VALUE が true の場合、既存のすべてのイベントがサブスクリプション イベント ソースから読み取られます。 VALUE が false の場合、将来 (到着) イベントのみが配信されます。 既定値は、/ree が値なしで指定されている場合は true、/ree が指定されていない場合の既定値は false です。

/lf: FILENAME

イベント サブスクリプションから受信したイベントを格納するために使用されるローカル イベント ログを示す 値。

/pn: PUBLISHER

イベント発行元 (プロバイダー) 名を示す 値。 /lf パラメーターで指定されたログを所有またはインポートする発行元である必要があります。

/dm: MODE

サブスクリプション配信モードを示す 値。 MODE には、プッシュまたはプルのいずれかを指定できます。 このオプションは、/cm パラメーターが Custom に設定されている場合にのみ有効です。

/dmi: NUMBER

イベント サブスクリプションでのバッチ配信のアイテムの最大数を示す 値です。 このオプションは、/cm パラメーターが Custom に設定されている場合にのみ有効です。

/dmlt: MS

イベントのバッチ配信で許容される最大待機時間を示す 値です。 MS は、許可されるミリ秒数です。 このパラメーターは、/cm パラメーターが Custom に設定されている場合にのみ有効です。

/hi: MS

サブスクリプションのハートビート間隔を示す 値。 MS は、間隔で使用されるミリ秒数です。 このパラメーターは、/cm パラメーターが Custom に設定されている場合にのみ有効です。

/tn: TRANSPORTNAME

リモート イベント ソース コンピューターへの接続に使用するトランスポートの名前を示す 値です。

/esa: EVENT_SOURCE

イベント ソース コンピューターのアドレスを示す 値です。 EVENT_SOURCE は、コンピューター、NetBIOS 名、または IP アドレスの完全修飾ドメイン名を使用してイベント ソース コンピューターを識別する文字列です。 このパラメーターは、/ese、/aes、/res、または /un パラメーターおよび /up パラメーターと共に使用できます。

/ese: VALUE

イベント ソースを有効または無効にするかどうかを決定する 値。 VALUE には true または false を指定できます。 既定値は true で、イベント ソースを有効にします。 このパラメーターは、/esa パラメーターが使用されている場合にのみ使用されます。

/Aes

イベント ソースがまだイベント サブスクリプションの一部でない場合に、/esa パラメーターで指定されたイベント ソースを追加する 値。 /esa パラメーターで指定されたコンピューターが既にサブスクリプションの一部である場合は、エラーが表示されます。 このパラメーターは、/esa パラメーターが使用されている場合にのみ使用できます。

/解像 度

イベント ソースが既にイベント サブスクリプションの一部である場合に、/esa パラメーターで指定されたイベント ソースを削除する 値。 /esa パラメーターで指定されたコンピューターがサブスクリプションに含まれていない場合は、エラーが表示されます。 このパラメーターは、/esa パラメーターが使用されている場合にのみ使用できます。

/un: USERNAME

/esa パラメーターで指定されたイベント ソースに接続するために資格情報で使用されるユーザー名を示す 値です。 このパラメーターは、/esa パラメーターが使用されている場合にのみ使用できます。

/up: PASSWORD

/un パラメーターで指定されたユーザー名のパスワードを指定する 値。 ユーザー名とパスワードの資格情報は、/esa パラメーターで指定されたイベント ソースに接続するために使用されます。 このパラメーターは、/un パラメーターが使用されている場合にのみ許可されます。

/tp: TRANSPORTPORT

リモート イベント ソース コンピューターに接続するときにトランスポートによって使用されるポート番号を示す 値です。

/hn: NAME

ローカル コンピューターの DNS 名を示す 値です。 この名前は、イベントをプッシュバックするためにリモート イベント ソースによって使用され、プッシュ サブスクリプションにのみ使用する必要があります。

/ct: TYPE

リモート イベント ソースへのアクセスに使用される資格情報の種類を示す 値です。 TYPE には、"default"、"negotiate"、"digest"、"basic"、または "localmachine" を指定できます。 既定値は "default" です。 これらの値は、 EC_SUBSCRIPTION_CREDENTIALS_TYPE 列挙で定義されます。

/cun: USERNAME

独自のユーザー資格情報を持たないイベント ソースに使用される共有ユーザー資格情報を設定する値。

Note

このパラメーターを /c オプションと共に使用すると、構成ファイルの個々のイベント ソースのユーザー名とパスワードの設定は無視されます。 特定のイベント ソースに対して異なる資格情報を使用する場合は、別の set-subscription コマンドのコマンド ラインで特定のイベント ソースの /un パラメーターと /up パラメーターを指定することで、この値をオーバーライドできます。

/cup: PASSWORD

共有ユーザー資格情報のユーザー パスワードを設定する 値。 PASSWORD が * (アスタリスク) に設定されている場合、パスワードはコンソールから読み取られます。 このオプションは、/cun パラメーターが指定されている場合にのみ有効です。

/ica: 拇印

発行者証明書のサムの一覧をコンマ区切りリストに出力する値。

注意

このオプションは、ソースによって開始されるサブスクリプションにのみ固有です。

/as: ALLOWED

サブスクリプションを開始できるドメイン以外のコンピューターの DNS 名を指定するコンマ区切りの文字列の一覧を設定する値。 名前は、"*.mydomain.com" などのワイルドカードを使用して指定できます。 既定では、この一覧には何も表示されません。

Note

このオプションは、ソースによって開始されるサブスクリプションにのみ固有です。

/ds: DENIED

サブスクリプションを開始できないドメイン以外のコンピューターの DNS 名を指定するコンマ区切りの文字列の一覧を設定する値。 名前は、"*.mydomain.com" などのワイルドカードを使用して指定できます。 既定では、この一覧には何も表示されません。

Note

このオプションは、ソースによって開始されるサブスクリプションにのみ固有です。

/adc: SDDL

サブスクリプションの開始が許可されるドメイン コンピューターまたは許可されていないドメイン コンピューターを指定する、SDDL 形式の文字列を設定する値。 既定では、すべてのドメイン コンピューターがサブスクリプションを開始できるようにします。

注意

このオプションは、ソースによって開始されるサブスクリプションにのみ固有です。

新しいサブスクリプションの作成

次の構文は、リモート コンピューター上のイベントのイベント サブスクリプションを作成するために使用されます。

wecutil {cs | create-subscription } CONFIGURATION_FILE [/cun:USERNAME]
[/cup:PASSWORD]

解説

wecutil cs コマンドで正しくないユーザー名またはパスワードが指定されている場合、wecutil gr コマンドを使用してサブスクリプションのランタイム状態を表示するまでエラーは報告されません。

作成パラメーター

CONFIGURATION_FILE

サブスクリプション構成情報を含む XML ファイルへのパスを示す 値です。 絶対パスでも、現在のディレクトリを基準とする相対パスでもかまいません。

次の XML は、リモート コンピューターのアプリケーション イベント ログから ForwardedEvents ログにイベントを転送するコレクター開始サブスクリプションを作成するサブスクリプション構成ファイルの例です。

<Subscription xmlns="http://schemas.microsoft.com/2006/03/windows/events/subscription">
    <SubscriptionId>SampleCISubscription</SubscriptionId>
    <SubscriptionType>CollectorInitiated</SubscriptionType>
    <Description>Collector Initiated Subscription Sample</Description>
    <Enabled>true</Enabled>
    <Uri>http://schemas.microsoft.com/wbem/wsman/1/windows/EventLog</Uri>

    <!-- Use Normal (default), Custom, MinLatency, MinBandwidth -->
    <ConfigurationMode>Custom</ConfigurationMode>

    <Delivery Mode="Push">
        <Batching>
            <MaxItems>20</MaxItems>
            <MaxLatencyTime>60000</MaxLatencyTime>
        </Batching>
        <PushSettings>
            <HostName>thisMachine.myDomain.com</HostName>
            <Heartbeat Interval="60000"/>
        </PushSettings>
    </Delivery>

    <Expires>2010-01-01T00:00:00.000Z</Expires>

    <Query>
        <![CDATA[
            <QueryList>
                <Query Path="Application">
                    <Select>*</Select>
                </Query>
            </QueryList>
        ]]>
    </Query>

    <ReadExistingEvents>false</ReadExistingEvents>
    <TransportName>http</TransportName>
    <ContentFormat>RenderedText</ContentFormat>
    <Locale Language="en-US"/>
    <LogFile>ForwardedEvents</LogFile>
    <CredentialsType>Default</CredentialsType>

    <EventSources>
        <EventSource Enabled="true">
            <Address>mySource.myDomain.com</Address>
            <UserName>myUserName</UserName>
        </EventSource>
    </EventSources>
</Subscription>

次の XML は、リモート コンピューターのアプリケーション イベント ログから ForwardedEvents ログにイベントを転送するソース開始サブスクリプションを作成するサブスクリプション構成ファイルの例です。

<Subscription xmlns="http://schemas.microsoft.com/2006/03/windows/events/subscription">
    <SubscriptionId>SampleSISubscription</SubscriptionId>
    <SubscriptionType>SourceInitiated</SubscriptionType>
    <Description>Source Initiated Subscription Sample</Description>
    <Enabled>true</Enabled>
    <Uri>http://schemas.microsoft.com/wbem/wsman/1/windows/EventLog</Uri>

    <!-- Use Normal (default), Custom, MinLatency, MinBandwidth -->
    <ConfigurationMode>Custom</ConfigurationMode>

    <Delivery Mode="Push">
        <Batching>
            <MaxItems>1</MaxItems>
            <MaxLatencyTime>1000</MaxLatencyTime>
        </Batching>
        <PushSettings>
            <Heartbeat Interval="60000"/>
        </PushSettings>
    </Delivery>

    <Expires>2018-01-01T00:00:00.000Z</Expires>

    <Query>
        <![CDATA[
            <QueryList>
                <Query Path="Application">
                    <Select>Event[System/EventID='999']</Select>
                </Query>
            </QueryList>
        ]]>
    </Query>

    <ReadExistingEvents>true</ReadExistingEvents>
    <TransportName>http</TransportName>
    <ContentFormat>RenderedText</ContentFormat>
    <Locale Language="en-US"/>
    <LogFile>ForwardedEvents</LogFile>
    <AllowedSourceNonDomainComputers></AllowedSourceNonDomainComputers>
    <AllowedSourceDomainComputers>O:NSG:NSD:(A;;GA;;;DC)(A;;GA;;;NS)</AllowedSourceDomainComputers>
</Subscription>

注意

ソースによって開始されるサブスクリプションを作成するときに、 AllowedSourceDomainComputersAllowedSourceNonDomainComputers/IssuerCAListAllowedSubjectListDeniedSubjectList がすべて空の場合、 AllowedSourceDomainComputers - "O:NSG:NSD:(A;;GA;;;DC)(A;;ジョージア 州;;;NS)"。 この SDDL の既定では、ドメイン コンピューター ドメイン グループのメンバーと、ローカル ネットワーク サービス グループ (ローカル フォワーダーの場合) に、このサブスクリプションのイベントを発生させる機能が付与されます。

/cun: USERNAME

独自のユーザー資格情報を持たないイベント ソースに使用される共有ユーザー資格情報を設定する値。 この値は、コレクターによって開始されるサブスクリプションにのみ適用されます。

注意

このパラメーターを指定すると、構成ファイルの個々のイベント ソースのユーザー名とパスワードの設定は無視されます。 特定のイベント ソースに対して異なる資格情報を使用する場合は、別の set-subscription コマンドのコマンド ラインで特定のイベント ソースの /un パラメーターと /up パラメーターを指定することで、この値をオーバーライドできます。

/cup: PASSWORD

共有ユーザー資格情報のユーザー パスワードを設定する 値。 PASSWORD が "*" (アスタリスク) に設定されている場合、パスワードはコンソールから読み取られます。 このオプションは、/cun パラメーターが指定されている場合にのみ有効です。

サブスクリプションの削除

イベント サブスクリプションを削除するには、次の構文を使用します。

wecutil { ds | delete-subscription } SUBSCRIPTION_ID

削除パラメーター

SUBSCRIPTION_ID

サブスクリプションを一意に識別する文字列。 この識別子は、サブスクリプションの作成に使用される XML 構成ファイルの SubscriptionId 要素で指定されます。 このパラメーターで識別されたサブスクリプションは削除されます。

サブスクリプションを再試行する

次の構文は、各イベント ソースへの接続を確立し、リモート サブスクリプション要求をイベント ソースに送信することで、すべてのイベント ソースまたは指定されたイベント ソースを再アクティブ化しようとすることによって、非アクティブなサブスクリプションを再試行するために使用されます。 無効なイベント ソースは再試行されません。

wecutil { rs | retry-subscription } SUBSCRIPTION_ID 
[EVENT_SOURCE [EVENT_SOURCE] ...]

再試行パラメーター

SUBSCRIPTION_ID

サブスクリプションを一意に識別する文字列。 この識別子は、サブスクリプションの作成に使用される XML 構成ファイルの SubscriptionId 要素で指定されます。 このパラメーターで識別されたサブスクリプションは再試行されます。

EVENT_SOURCE

イベント サブスクリプションのイベント ソースであるコンピューターを識別する値。 この値には、コンピューターの完全修飾ドメイン名、NetBIOS 名、または IP アドレスを指定できます。

Windows イベント コレクター サービスを構成する

次の構文を使用して、Windows イベント コレクター サービスを構成し、コンピューターの再起動によってイベント サブスクリプションを作成して維持できるようにします。 これには、次の手順が含まれます。

Windows イベント コレクター サービスを構成するには

  1. ForwardedEvents チャネルが無効になっている場合は有効にします。
  2. Windows イベント コレクター サービスの開始を遅らせる。
  3. Windows イベント コレクター サービスが動いていない場合は開始します。
wecutil { qc | quick-config } /q:VALUE

イベント コレクター パラメーターの構成

/q: VALUE

quick-config コマンドが確認を求めるかどうかを決定する値。 VALUE には true または false を指定できます。 VALUE が true の場合、コマンドは確認を求めます。 既定値は false です。

要件

要件
サポートされている最小のクライアント
 Windows Vista
サポートされている最小のサーバー
 Windows Server 2008