Wecutil.exe
Wecutil.exe 관리자가 WS-Management 프로토콜을 지원하는 원격 이벤트 원본에서 전달된 이벤트에 대한 구독을 만들고 관리할 수 있는 Windows 이벤트 수집기 유틸리티입니다. 명령, 옵션 및 옵션 값은 이 유틸리티에 대해 대/소문자를 구분하지 않습니다.
wecutil을 실행하려고 할 때 "RPC 서버를 사용할 수 없음" 또는 "인터페이스를 알 수 없음"이라는 메시지가 표시되면 Windows 이벤트 수집기 서비스(wecsvc)를 시작해야 합니다. wecsvc를 시작하려면 관리자 권한 명령 프롬프트에서 net start wecsvc를 입력합니다.
다음 구문은 기존 원격 이벤트 구독을 나열하는 데 사용됩니다.
wecutil { es | enum-subscription }
스크립트를 사용하여 출력에서 구독의 이름을 가져오는 경우 출력의 첫 번째 줄에 있는 UTF-8 BOM 문자를 무시해야 합니다. 다음 스크립트는 BOM 문자를 건너뛰는 방법의 예를 보여줍니다.
setlocal enabledelayedexpansion
set bomskipped=
for /f %%i in ('wecutil es') do (
set sub=%%i
if not defined bomskipped (
set sub=!sub:~3!
set bomskipped=yes
)
echo !sub!
)
goto :eof
endlocal
다음 구문은 원격 이벤트 구독 구성 데이터를 표시하는 데 사용됩니다.
wecutil { gs | get-subscription } SUBSCRIPTION_ID [/f:VALUE
[/u:VALUE] ...]
-
SUBSCRIPTION_ID
-
구독을 고유하게 식별하는 문자열입니다. 이 식별자는 구독을 만드는 데 사용되는 XML 구성 파일의 SubscriptionId 요소에 지정됩니다.
-
/f:VALUE
-
구독 구성 데이터의 출력을 지정하는 값입니다. VALUE 는 "XML" 또는 "Terse"일 수 있으며 기본값은 "Terse"입니다. VALUE가 "XML"이면 출력이 "XML" 형식으로 인쇄됩니다. VALUE가 "Terse"이면 출력이 이름-값 쌍으로 인쇄됩니다.
-
/u: VALUE
-
출력이 유니코드 형식인지 여부를 지정하는 값입니다. VALUE 는 "true" 또는 "false"일 수 있습니다. VALUE가 "true"이면 출력이 유니코드 형식이고 VALUE가 "false"이면 출력이 유니코드 형식이 아닙니다.
다음 구문은 구독 런타임 상태 표시하는 데 사용됩니다.
wecutil { gr | get-subscriptionruntimestatus } SUBSCRIPTION_ID
[EVENT_SOURCE [EVENT_SOURCE] ...]
-
SUBSCRIPTION_ID
-
구독을 고유하게 식별하는 문자열입니다. 이 식별자는 구독을 만드는 데 사용되는 XML 구성 파일의 SubscriptionId 요소에 지정됩니다.
-
EVENT_SOURCE
-
이벤트 구독의 이벤트 원본인 컴퓨터를 식별하는 값입니다. 이 값은 컴퓨터의 정규화된 도메인 이름, NetBIOS 이름 또는 IP 주소일 수 있습니다.
다음 구문은 명령줄에서 구독 매개 변수를 변경하거나 XML 구성 파일을 사용하여 구독 구성 데이터를 설정하는 데 사용됩니다.
wecutil { ss | set_subscription } SUBSCRIPTION_ID [/e:VALUE]
[/esa:EVENT_SOURCE [/ese:VALUE] [/aes] [/res] [/un:USERNAME] [/up:PASSWORD]]
[/d:DESCRIPTION] [/uri:URI] [/cm:CONFIGURATION_MODE] [/ex:DATE_TIME]
[/q:QUERY] [/dia:DIALECT] [/tn:TRANSPORTNAME] [/tp:TRANSPORTPORT] [/dm:MODE]
[/dmi:NUMBER] [/dmlt:MS] [/hi:MS] [/cf:FORMAT] [/l:LOCALE] [/ree:[VALUE]]
[/lf:FILENAME] [/pn:PUBLISHER] [/hn:NAME] [/ct:TYPE]
[/cun:USERNAME] [/cup:PASSWORD]
[/ica:THUMBPRINTS] [/as:ALLOWED] [/ds:DENIED] [/adc:SDDL]
wecutil {ss | set_subscription } /c:CONGIG_FILE [/cun:USERNAME]
[/cup:PASSWORD]
wecutil ss 명령에 잘못된 사용자 이름 또는 암호를 지정하면 wecutil gr 명령을 사용하여 구독의 런타임 상태 볼 때까지 오류가 보고되지 않습니다.
-
SUBSCRIPTION_ID
-
구독을 고유하게 식별하는 문자열입니다. 이 식별자는 구독을 만드는 데 사용되는 XML 구성 파일의 SubscriptionId 요소에 지정됩니다.
-
/c: CONGIG_FILE
-
구독 구성 정보를 포함하는 XML 파일의 경로를 지정하는 값입니다. 절대 또는 현재 디렉터리에 상대적 경로일 수 있습니다. 이 매개 변수는 선택적 /cus 및 /cup 매개 변수와 함께만 사용할 수 있으며 다른 모든 매개 변수와 함께 사용할 수 없습니다.
-
/e: VALUE
-
구독을 사용하거나 사용하지 않도록 설정할지 여부를 결정하는 값입니다. VALUE는 true 또는 false일 수 있습니다. 기본값은 true이며 구독을 사용하도록 설정합니다.
참고
수집기 시작 구독을 사용하지 않도록 설정하면 이벤트 원본이 비활성화되지 않고 비활성 상태가 됩니다. 수집기 시작 구독에서 구독과 독립적으로 이벤트 원본을 사용하지 않도록 설정할 수 있습니다.
-
/d: DESCRIPTION
-
이벤트 구독에 대한 설명을 지정하는 값입니다.
-
/ex: DATE_TIME
-
구독 만료 시간을 지정하는 값입니다. DATE_TIME 표준 XML 또는 ISO8601 날짜-시간 형식으로 지정된 값입니다. "yyyy-MM-ddThh:mm:ss[.sss][Z]" 여기서 "T"는 시간 구분 기호이고 "Z"는 UTC 시간을 나타냅니다. 예를 들어 DATE_TIME "2007-01-12T01:20:00"인 경우 구독 만료 시간은 2007년 1월 12일, 01:20입니다.
-
/uri: URI
-
구독에서 사용하는 이벤트의 유형을 지정하는 값입니다. 이벤트 원본 컴퓨터의 주소와 URI(Uniform Resource Identifier)는 이벤트의 원본을 고유하게 식별합니다. 구독에서 모든 이벤트 소스 주소 URI 문자열로 사용 됩니다.
-
/cm: CONFIGURATION_MODE
-
이벤트 구독의 구성 모드를 지정하는 값입니다. CONFIGURATION_MODE "Normal", "Custom", "MinLatency" 또는 "MinBandwidth" 문자열 중 하나일 수 있습니다. EC_SUBSCRIPTION_CONFIGURATION_MODE 열거형은 구성 모드를 정의합니다. 구성 모드가 사용자 지정으로 설정된 경우에만 /dm, /dmi, /hi 및 /dmlt 매개 변수를 지정할 수 있습니다.
-
/q: QUERY
-
구독에 대한 쿼리 문자열을 지정하는 값입니다. 이 문자열의 형식은 다른 URI 값에 대해 다를 수 있으며 구독의 모든 이벤트 원본에 적용됩니다.
-
/dia: DIALECT
-
쿼리 문자열에서 사용하는 방언을 지정하는 값입니다.
-
/cf: FORMAT
-
반환된 이벤트의 형식을 지정하는 값입니다. FORMAT 은 "Events" 또는 "RenderedText"일 수 있습니다. 값이 "RenderedText"이면 이벤트에 연결된 지역화된 문자열(예: 이벤트 설명 문자열)과 함께 이벤트가 반환됩니다. FORMAT의 기본값은 "RenderedText"입니다.
-
/l: LOCALE
-
지역화된 문자열을 렌더링된 텍스트 형식으로 배달하기 위한 로캘을 지정하는 값입니다. LOCALE 는 언어/국가 문화권 식별자입니다(예: "EN-us"). 이 매개 변수는 /cf 매개 변수가 "RenderedText"로 설정된 경우에만 유효합니다.
-
/ree:[VALUE]
-
구독에 대해 배달할 이벤트를 지정하는 값입니다. VALUE 는 true 또는 false일 수 있습니다. VALUE가 true이면 모든 기존 이벤트가 구독 이벤트 원본에서 읽습니다. VALUE가 false이면 향후(도착) 이벤트만 전달됩니다. 값 없이 /ree를 지정하면 기본값이 true이고 /ree를 지정하지 않으면 기본값은 false입니다.
-
/lf: FILENAME
-
이벤트 구독에서 받은 이벤트를 저장하는 데 사용되는 로컬 이벤트 로그를 지정하는 값입니다.
-
/pn: PUBLISHER
-
이벤트 게시자(공급자) 이름을 지정하는 값입니다. /lf 매개 변수로 지정된 로그를 소유하거나 가져오는 게시자여야 합니다.
-
/dm: MODE
-
구독 배달 모드를 지정하는 값입니다. MODE 는 밀어넣기 또는 끌어오기일 수 있습니다. 이 옵션은 /cm 매개 변수가 사용자 지정으로 설정된 경우에만 유효합니다.
-
/dmi: NUMBER
-
이벤트 구독에서 일괄 처리된 배달에 대한 최대 항목 수를 지정하는 값입니다. 이 옵션은 /cm 매개 변수가 사용자 지정으로 설정된 경우에만 유효합니다.
-
/dmlt: MS
-
이벤트 일괄 처리 배달에 허용되는 최대 대기 시간을 지정하는 값입니다. MS는 허용되는 시간(밀리초)입니다. 이 매개 변수는 /cm 매개 변수가 Custom으로 설정된 경우에만 유효합니다.
-
/hi: MS
-
구독의 하트비트 간격을 지정하는 값입니다. MS 는 간격에 사용된 시간(밀리초)입니다. 이 매개 변수는 /cm 매개 변수가 Custom으로 설정된 경우에만 유효합니다.
-
/tn: TRANSPORTNAME
-
원격 이벤트 원본 컴퓨터에 연결하는 데 사용되는 전송의 이름을 지정하는 값입니다.
-
/esa: EVENT_SOURCE
-
이벤트 원본 컴퓨터의 주소를 지정하는 값입니다. EVENT_SOURCE 컴퓨터, NetBIOS 이름 또는 IP 주소에 대해 정규화된 도메인 이름을 사용하여 이벤트 원본 컴퓨터를 식별하는 문자열입니다. 이 매개 변수는 /ese, /aes, /res 또는 /un 및 /up 매개 변수와 함께 사용할 수 있습니다.
-
/ese: VALUE
-
이벤트 원본을 사용하거나 사용하지 않도록 설정할지 여부를 결정하는 값입니다. VALUE 는 true 또는 false일 수 있습니다. 기본값은 true이며 이벤트 원본을 사용하도록 설정합니다. 이 매개 변수는 /esa 매개 변수를 사용하는 경우에만 사용됩니다.
-
/Aes
-
이벤트 원본이 이벤트 구독의 일부가 아닌 경우 /esa 매개 변수로 지정된 이벤트 원본을 추가하는 값입니다. /esa 매개 변수로 지정된 컴퓨터가 이미 구독의 일부인 경우 오류가 표시됩니다. 이 매개 변수는 /esa 매개 변수를 사용하는 경우에만 허용됩니다.
-
/해상도
-
이벤트 원본이 이미 이벤트 구독의 일부인 경우 /esa 매개 변수로 지정된 이벤트 원본을 제거하는 값입니다. /esa 매개 변수로 지정된 컴퓨터가 구독의 일부가 아닌 경우 오류가 표시됩니다. 이 매개 변수는 /esa 매개 변수를 사용하는 경우에만 허용됩니다.
-
/un: USERNAME
-
/esa 매개 변수에 지정된 이벤트 원본에 연결하기 위해 자격 증명에 사용되는 사용자 이름을 지정하는 값입니다. 이 매개 변수는 /esa 매개 변수를 사용하는 경우에만 허용됩니다.
-
/up: PASSWORD
-
/un 매개 변수에 지정된 사용자 이름의 암호를 지정하는 값입니다. 사용자 이름 및 암호 자격 증명은 /esa 매개 변수에 지정된 이벤트 원본에 연결하는 데 사용됩니다. 이 매개 변수는 /un 매개 변수를 사용하는 경우에만 허용됩니다.
-
/tp: TRANSPORTPORT
-
원격 이벤트 원본 컴퓨터에 연결할 때 전송에 사용되는 포트 번호를 지정하는 값입니다.
-
/hn: NAME
-
로컬 컴퓨터의 DNS 이름을 지정하는 값입니다. 이 이름은 원격 이벤트 원본에서 이벤트를 푸시백하는 데 사용되며 푸시 구독에만 사용해야 합니다.
-
/ct: TYPE
-
원격 이벤트 원본에 액세스하는 데 사용되는 자격 증명 유형을 지정하는 값입니다. TYPE 은 "default", "negotiate", "digest", "basic" 또는 "localmachine"일 수 있습니다. 기본값은 "default"입니다. 이러한 값은 EC_SUBSCRIPTION_CREDENTIALS_TYPE 열거형에 정의됩니다.
-
/cun: USERNAME
-
자체 사용자 자격 증명이 없는 이벤트 원본에 사용되는 공유 사용자 자격 증명을 설정하는 값입니다.
참고
이 매개 변수를 /c 옵션과 함께 사용하는 경우 구성 파일의 개별 이벤트 원본에 대한 사용자 이름 및 암호 설정은 무시됩니다. 특정 이벤트 원본에 대해 다른 자격 증명을 사용하려는 경우 다른 set-subscription 명령의 명령줄에서 특정 이벤트 원본에 대한 /un 및 /up 매개 변수를 지정하여 이 값을 재정의할 수 있습니다.
-
/cup: PASSWORD
-
공유 사용자 자격 증명에 대한 사용자 암호를 설정하는 값입니다. PASSWORD가 *(별표)로 설정된 경우 콘솔에서 암호를 읽습니다. 이 옵션은 /cun 매개 변수가 지정된 경우에만 유효합니다.
-
/ica: 지문
-
발급자 인증서 미리 보기 인쇄 목록을 쉼표로 구분된 목록으로 설정하는 값입니다.
참고
이 옵션은 원본 시작 구독에만 적용됩니다.
-
/as: ALLOWED
-
구독을 시작할 수 있는 도메인이 아닌 컴퓨터의 DNS 이름을 지정하는 쉼표로 구분된 문자열 목록을 설정하는 값입니다. 이름은 "*.mydomain.com"과 같은 와일드카드를 사용하여 지정할 수 있습니다. 기본적으로 이 목록은 비어 있습니다.
참고
이 옵션은 원본 시작 구독에만 적용됩니다.
-
/ds: DENIED
-
구독을 시작할 수 없는 도메인이 아닌 컴퓨터의 DNS 이름을 지정하는 쉼표로 구분된 문자열 목록을 설정하는 값입니다. 이름은 "*.mydomain.com"과 같은 와일드카드를 사용하여 지정할 수 있습니다. 기본적으로 이 목록은 비어 있습니다.
참고
이 옵션은 원본 시작 구독에만 적용됩니다.
-
/adc: SDDL
-
구독을 시작할 수 있거나 시작할 수 없는 도메인 컴퓨터를 지정하는 문자열을 SDDL 형식으로 설정하는 값입니다. 기본값은 모든 도메인 컴퓨터에서 구독을 시작하도록 허용하는 것입니다.
참고
이 옵션은 원본 시작 구독에만 적용됩니다.
다음 구문은 원격 컴퓨터에서 이벤트에 대한 이벤트 구독을 만드는 데 사용됩니다.
wecutil {cs | create-subscription } CONFIGURATION_FILE [/cun:USERNAME]
[/cup:PASSWORD]
wecutil cs 명령에 잘못된 사용자 이름 또는 암호를 지정하면 wecutil gr 명령을 사용하여 구독의 런타임 상태 볼 때까지 오류가 보고되지 않습니다.
-
CONFIGURATION_FILE
-
구독 구성 정보가 포함된 XML 파일의 경로를 지정하는 값입니다. 절대 또는 현재 디렉터리에 상대적 경로일 수 있습니다.
다음 XML은 원격 컴퓨터의 애플리케이션 이벤트 로그에서 ForwardedEvents 로그로 이벤트를 전달하기 위해 수집기 시작 구독을 만드는 구독 구성 파일의 예입니다.
<Subscription xmlns="http://schemas.microsoft.com/2006/03/windows/events/subscription"> <SubscriptionId>SampleCISubscription</SubscriptionId> <SubscriptionType>CollectorInitiated</SubscriptionType> <Description>Collector Initiated Subscription Sample</Description> <Enabled>true</Enabled> <Uri>http://schemas.microsoft.com/wbem/wsman/1/windows/EventLog</Uri> <!-- Use Normal (default), Custom, MinLatency, MinBandwidth --> <ConfigurationMode>Custom</ConfigurationMode> <Delivery Mode="Push"> <Batching> <MaxItems>20</MaxItems> <MaxLatencyTime>60000</MaxLatencyTime> </Batching> <PushSettings> <HostName>thisMachine.myDomain.com</HostName> <Heartbeat Interval="60000"/> </PushSettings> </Delivery> <Expires>2010-01-01T00:00:00.000Z</Expires> <Query> <![CDATA[ <QueryList> <Query Path="Application"> <Select>*</Select> </Query> </QueryList> ]]> </Query> <ReadExistingEvents>false</ReadExistingEvents> <TransportName>http</TransportName> <ContentFormat>RenderedText</ContentFormat> <Locale Language="en-US"/> <LogFile>ForwardedEvents</LogFile> <CredentialsType>Default</CredentialsType> <EventSources> <EventSource Enabled="true"> <Address>mySource.myDomain.com</Address> <UserName>myUserName</UserName> </EventSource> </EventSources> </Subscription>
다음 XML은 원격 컴퓨터의 애플리케이션 이벤트 로그에서 ForwardedEvents 로그로 이벤트를 전달하는 원본 시작 구독을 만드는 구독 구성 파일의 예입니다.
<Subscription xmlns="http://schemas.microsoft.com/2006/03/windows/events/subscription"> <SubscriptionId>SampleSISubscription</SubscriptionId> <SubscriptionType>SourceInitiated</SubscriptionType> <Description>Source Initiated Subscription Sample</Description> <Enabled>true</Enabled> <Uri>http://schemas.microsoft.com/wbem/wsman/1/windows/EventLog</Uri> <!-- Use Normal (default), Custom, MinLatency, MinBandwidth --> <ConfigurationMode>Custom</ConfigurationMode> <Delivery Mode="Push"> <Batching> <MaxItems>1</MaxItems> <MaxLatencyTime>1000</MaxLatencyTime> </Batching> <PushSettings> <Heartbeat Interval="60000"/> </PushSettings> </Delivery> <Expires>2018-01-01T00:00:00.000Z</Expires> <Query> <![CDATA[ <QueryList> <Query Path="Application"> <Select>Event[System/EventID='999']</Select> </Query> </QueryList> ]]> </Query> <ReadExistingEvents>true</ReadExistingEvents> <TransportName>http</TransportName> <ContentFormat>RenderedText</ContentFormat> <Locale Language="en-US"/> <LogFile>ForwardedEvents</LogFile> <AllowedSourceNonDomainComputers></AllowedSourceNonDomainComputers> <AllowedSourceDomainComputers>O:NSG:NSD:(A;;GA;;;DC)(A;;GA;;;NS)</AllowedSourceDomainComputers> </Subscription>
참고
원본 시작 구독을 만들 때 AllowedSourceDomainComputers, AllowedSourceNonDomainComputers/IssuerCAList, AllowedSubjectList 및 DeniedSubjectList 가 모두 비어 있는 경우 AllowedSourceDomainComputers - "O:NSG:NSD:(A;; GA;;;D C)(A;; 조지아;;; NS)". 이 SDDL 기본값은 도메인 컴퓨터 도메인 그룹의 멤버뿐만 아니라 로컬 네트워크 서비스 그룹(로컬 전달자의 경우)에게 이 구독에 대한 이벤트를 발생시킬 수 있는 기능을 부여합니다.
-
/cun: USERNAME
-
자체 사용자 자격 증명이 없는 이벤트 원본에 사용되는 공유 사용자 자격 증명을 설정하는 값입니다. 이 값은 수집기 시작 구독에만 적용됩니다.
참고
이 매개 변수를 지정하면 구성 파일의 개별 이벤트 원본에 대한 사용자 이름 및 암호 설정이 무시됩니다. 특정 이벤트 원본에 대해 다른 자격 증명을 사용하려는 경우 다른 set-subscription 명령의 명령줄에서 특정 이벤트 원본에 대한 /un 및 /up 매개 변수를 지정하여 이 값을 재정의할 수 있습니다.
-
/cup: PASSWORD
-
공유 사용자 자격 증명에 대한 사용자 암호를 설정하는 값입니다. PASSWORD가 "*"(별표)로 설정되면 콘솔에서 암호를 읽습니다. 이 옵션은 /cun 매개 변수가 지정된 경우에만 유효합니다.
다음 구문은 이벤트 구독을 삭제하는 데 사용됩니다.
wecutil { ds | delete-subscription } SUBSCRIPTION_ID
-
SUBSCRIPTION_ID
-
구독을 고유하게 식별하는 문자열입니다. 이 식별자는 구독을 만드는 데 사용되는 XML 구성 파일의 SubscriptionId 요소에 지정됩니다. 이 매개 변수에서 식별된 구독이 삭제됩니다.
다음 구문은 각 이벤트 원본에 대한 연결을 설정하고 이벤트 원본에 원격 구독 요청을 전송하여 모든 또는 지정된 이벤트 원본을 다시 활성화하려고 시도하여 비활성 구독을 다시 시도하는 데 사용됩니다. 비활성화된 이벤트 원본은 다시 시도되지 않습니다.
wecutil { rs | retry-subscription } SUBSCRIPTION_ID
[EVENT_SOURCE [EVENT_SOURCE] ...]
-
SUBSCRIPTION_ID
-
구독을 고유하게 식별하는 문자열입니다. 이 식별자는 구독을 만드는 데 사용되는 XML 구성 파일의 SubscriptionId 요소에 지정됩니다. 이 매개 변수에서 식별된 구독이 다시 시도됩니다.
-
EVENT_SOURCE
-
이벤트 구독의 이벤트 원본인 컴퓨터를 식별하는 값입니다. 이 값은 컴퓨터의 정규화된 도메인 이름, NetBIOS 이름 또는 IP 주소일 수 있습니다.
다음 구문은 컴퓨터 다시 시작을 통해 이벤트 구독을 만들고 유지할 수 있도록 Windows 이벤트 수집기 서비스를 구성하는 데 사용됩니다. 여기에는 다음 절차가 포함됩니다.
Windows 이벤트 수집기 서비스를 구성하려면
- 비활성화 된 경우 ForwardedEvents 채널을 사용 하도록 설정 합니다.
- Windows 이벤트 수집기 서비스의 시작을 지연합니다.
- 실행 되지 않는 경우에 Windows 이벤트 수집기 서비스를 시작 합니다.
wecutil { qc | quick-config } /q:VALUE
-
/q: VALUE
-
quick-config 명령에서 확인을 요청하는지 여부를 결정하는 값입니다. VALUE는 true 또는 false일 수 있습니다. VALUE가 true이면 명령에서 확인을 요청합니다. 기본값은 False입니다.
요구 사항 | 값 |
---|---|
지원되는 최소 클라이언트 |
Windows Vista |
지원되는 최소 서버 |
Windows Server 2008 |