Wecutil.exe

Wecutil.exe é um utilitário do Coletor de Eventos do Windows que permite que um administrador crie e gerencie assinaturas de eventos encaminhados de fontes de eventos remotas que oferecem suporte ao protocolo WS-Management. Comandos, opções e valores de opção não diferenciam maiúsculas de minúsculas para este utilitário.

Se você receber uma mensagem dizendo "O servidor RPC não está disponível" ou "A interface é desconhecida" ao tentar executar o wecutil, será necessário iniciar o serviço Coletor de Eventos do Windows (wecsvc). Para iniciar o wecsvc, em um prompt de comando elevado, digite net start wecsvc.

Listar assinaturas existentes

A sintaxe a seguir é usada para listar assinaturas de eventos remotos existentes.

wecutil { es | enum-subscription }

Se você usar um script para obter os nomes das assinaturas da saída, precisará ignorar os caracteres UTF-8 BOM na primeira linha da saída. O script a seguir mostra um exemplo de como você pode ignorar os caracteres de lista técnica.

setlocal enabledelayedexpansion

set bomskipped=
for /f %%i in ('wecutil es') do (
    set sub=%%i
    if not defined bomskipped (
        set sub=!sub:~3!
        set bomskipped=yes
    )
    echo !sub!
)
goto :eof

endlocal

Obter configuração de subscrição

A sintaxe a seguir é usada para exibir dados de configuração de assinatura de evento remoto.

wecutil { gs | get-subscription } SUBSCRIPTION_ID [/f:VALUE 
[/u:VALUE] ...]

Obter parâmetros de configuração

SUBSCRIPTION_ID

Uma cadeia de caracteres que identifica exclusivamente uma assinatura. Esse identificador é especificado no elemento SubscriptionId no arquivo de configuração XML usado para criar a assinatura.

/f:VALOR

Um valor que especifica a saída dos dados de configuração da assinatura. VALUE pode ser "XML" ou "Terse", e o padrão é "Terse". Se VALUE for "XML", então a saída é impressa no formato "XML". Se VALUE for "Terse", a saída será impressa em pares nome-valor.

/u: VALOR

Um valor que especifica se a saída está no formato Unicode. VALUE pode ser "true" ou "false". Se VALUE é "true", então a saída está no formato Unicode, e se VALUE é "false", então a saída não está no formato Unicode.

Obter o status do tempo de execução da assinatura

A sintaxe a seguir é usada para exibir o status do tempo de execução da assinatura.

wecutil { gr | get-subscriptionruntimestatus } SUBSCRIPTION_ID
 [EVENT_SOURCE [EVENT_SOURCE] ...]

Obter parâmetros de status

SUBSCRIPTION_ID

Uma cadeia de caracteres que identifica exclusivamente uma assinatura. Esse identificador é especificado no elemento SubscriptionId no arquivo de configuração XML usado para criar a assinatura.

EVENT_SOURCE

Um valor que identifica um computador que é uma fonte de eventos para uma assinatura de evento. Esse valor pode ser o nome de domínio totalmente qualificado para o computador, nome NetBIOS ou endereço IP.

Definir informações de configuração da assinatura

A sintaxe a seguir é usada para definir dados de configuração de assinatura alterando parâmetros de assinatura da linha de comando ou usando um arquivo de configuração XML.

wecutil { ss | set_subscription } SUBSCRIPTION_ID [/e:VALUE] 
[/esa:EVENT_SOURCE [/ese:VALUE] [/aes] [/res] [/un:USERNAME] [/up:PASSWORD]] 
[/d:DESCRIPTION] [/uri:URI] [/cm:CONFIGURATION_MODE] [/ex:DATE_TIME] 
[/q:QUERY] [/dia:DIALECT] [/tn:TRANSPORTNAME] [/tp:TRANSPORTPORT] [/dm:MODE] 
[/dmi:NUMBER] [/dmlt:MS] [/hi:MS] [/cf:FORMAT] [/l:LOCALE] [/ree:[VALUE]] 
[/lf:FILENAME] [/pn:PUBLISHER] [/hn:NAME] [/ct:TYPE] 
[/cun:USERNAME] [/cup:PASSWORD] 
[/ica:THUMBPRINTS] [/as:ALLOWED] [/ds:DENIED] [/adc:SDDL]

wecutil {ss | set_subscription } /c:CONGIG_FILE [/cun:USERNAME] 
[/cup:PASSWORD]

Observações

Quando um nome de usuário ou senha incorreto é especificado no comando wecutil ss , nenhum erro é relatado até que você visualize o status de tempo de execução da assinatura usando o comando wecutil gr .

Definir parâmetros de configuração

SUBSCRIPTION_ID

Uma cadeia de caracteres que identifica exclusivamente uma assinatura. Esse identificador é especificado no elemento SubscriptionId no arquivo de configuração XML usado para criar a assinatura.

/c: CONFIG_FILE

Um valor que especifica o caminho para o arquivo XML que contém informações de configuração de assinatura. O caminho pode ser absoluto ou relativo ao diretório atual. Este parâmetro só pode ser usado com os parâmetros opcionais /cus e /cup, e é mutuamente exclusivo com todos os outros parâmetros.

/e: VALOR

Um valor que determina se a assinatura deve ser habilitada ou desabilitada. VALUE pode ser verdadeiro ou falso. O valor padrão é true, o que habilita a assinatura.

Observação

Quando você desabilita uma assinatura iniciada pelo coletor, a fonte do evento fica inativa em vez de desabilitada. Em uma assinatura iniciada pelo coletor, você pode desabilitar uma fonte de eventos independente da assinatura.

/d: DESCRIÇÃO

Um valor que especifica uma descrição para a assinatura do evento.

/ex: DATE_TIME

Um valor que especifica o tempo de expiração da assinatura. DATE_TIME é um valor especificado em XML padrão ou ISO8601 formato de data-hora: "aaaa-MM-ddThh:mm:ss[.sss][Z]" onde "T" é o separador de tempo e "Z" indica hora UTC. Por exemplo, se DATE_TIME for "2007-01-12T01:20:00", o tempo de expiração da assinatura é 12 de janeiro de 2007, 01:20.

/uri: URI

Um valor que especifica o tipo de eventos consumidos pela assinatura. O endereço do computador de origem do evento, juntamente com o URI (identificador uniforme de recursos), identifica exclusivamente a origem dos eventos. A cadeia de caracteres URI é usada para todos os endereços de origem de eventos na assinatura.

/cm: CONFIGURATION_MODE

Um valor que especifica o modo de configuração da assinatura do evento. CONFIGURATION_MODE pode ser uma das seguintes strings: "Normal", "Custom", "MinLatency" ou "MinBandwidth". A enumeração EC_SUBSCRIPTION_CONFIGURATION_MODE define os modos de configuração. Os parâmetros /dm, /dmi, /hi e /dmlt só podem ser especificados se o modo de configuração estiver definido como Personalizado.

/q: CONSULTA

Um valor que especifica a cadeia de caracteres de consulta para a assinatura. O formato dessa cadeia de caracteres pode ser diferente para valores de URI diferentes e se aplica a todas as fontes de eventos na assinatura.

/dia: FALETO

Um valor que especifica o dialeto que a cadeia de caracteres de consulta usa.

/cf: FORMATO

Um valor que especifica o formato dos eventos retornados. FORMAT pode ser "Events" ou "RenderedText". Quando o valor é "RenderedText", os eventos são retornados com as cadeias de caracteres localizadas (como cadeias de caracteres de descrição de eventos) anexadas aos eventos. O valor padrão de FORMAT é "RenderedText".

/l: LOCALIDADE

Um valor que especifica a localidade para entrega das cadeias de caracteres localizadas em formato de texto renderizado. LOCALE é um identificador de idioma/cultura de país, por exemplo, "EN-us". Este parâmetro só é válido quando o parâmetro /cf é definido como "RenderedText".

/ree:[VALOR]

Um valor que especifica quais eventos devem ser entregues para a assinatura. VALUE pode ser verdadeiro ou falso. Quando VALUE é true, todos os eventos existentes são lidos das fontes de eventos de assinatura. Quando VALUE é falso, apenas eventos futuros (que chegam) são entregues. O padrão é true quando /ree é especificado sem um valor, e o padrão é false se /ree não é especificado.

/lf: NOME DO FICHEIRO

Um valor que especifica o log de eventos local usado para armazenar eventos recebidos da assinatura do evento.

/pn: EDITORA

Um valor que especifica o nome do editor de eventos (provedor). Ele deve ser um editor que possui ou importa o log especificado pelo parâmetro /lf.

/dm: MODO

Um valor que especifica o modo de entrega da assinatura. O modo pode ser empurrar ou puxar. Esta opção só é válida se o parâmetro /cm estiver definido como Personalizado.

/dmi: NÚMERO

Um valor que especifica o número máximo de itens para entrega em lote na assinatura do evento. Esta opção só é válida se o parâmetro /cm estiver definido como Personalizado.

/dmlt: EM

Um valor que especifica a latência máxima permitida na entrega de um lote de eventos. MS é o número de milissegundos permitidos. Este parâmetro só é válido se o parâmetro /cm estiver definido como Custom.

/oi: EM

Um valor que especifica o intervalo de pulsação para a assinatura. MS é o número de milissegundos utilizados no intervalo. Este parâmetro só é válido se o parâmetro /cm estiver definido como Custom.

/tn: NOME TRANSPORT

Um valor que especifica o nome do transporte usado para se conectar ao computador de origem de eventos remoto.

/esa: EVENT_SOURCE

Um valor que especifica o endereço de um computador de origem de eventos. EVENT_SOURCE é uma cadeia de caracteres que identifica um computador de origem de evento usando o nome de domínio totalmente qualificado para o computador, nome NetBIOS ou endereço IP. Este parâmetro pode ser usado com os parâmetros /ese, /aes, /res ou /un e /up.

/ese: VALOR

Um valor que determina se uma fonte de eventos deve ser habilitada ou desabilitada. VALUE pode ser verdadeiro ou falso. O valor padrão é true, que habilita a fonte do evento. Este parâmetro só é utilizado se for utilizado o parâmetro /esa.

/AES

Um valor que adiciona a fonte de evento especificada pelo parâmetro /esa se a fonte de evento ainda não fizer parte da assinatura do evento. Se o computador especificado pelo parâmetro /esa já fizer parte da assinatura, será exibido um erro. Este parâmetro só é permitido se for utilizado o parâmetro /esa.

/res

Um valor que remove a fonte de evento especificada pelo parâmetro /esa se a fonte de evento já fizer parte da assinatura do evento. Se o computador especificado pelo parâmetro /esa não fizer parte da assinatura, será exibido um erro. Este parâmetro só é permitido se for utilizado o parâmetro /esa.

/un: NOME DE UTILIZADOR

Um valor que especifica o nome de usuário usado nas credenciais para se conectar à fonte de eventos especificada no parâmetro /esa. Este parâmetro só é permitido se for utilizado o parâmetro /esa.

/up: SENHA

Um valor que especifica a senha para o nome de usuário especificado no parâmetro /un. As credenciais de nome de usuário e senha são usadas para se conectar à fonte de eventos especificada no parâmetro /esa. Este parâmetro só é permitido se o parâmetro /un for usado.

/tp: TRANSPORTPORT

Um valor que especifica o número da porta usado pelo transporte ao se conectar a um computador remoto de origem de eventos.

/hn: NOME

Um valor que especifica o nome DNS do computador local. Esse nome é usado por fontes de eventos remotas para enviar eventos por push e deve ser usado apenas para assinaturas push.

/ct: TIPO

Um valor que especifica o tipo de credencial usado para acessar fontes de eventos remotas. TYPE pode ser "default", "negotiate", "digest", "basic" ou "localmachine". O padrão é "default". Esses valores são definidos na enumeração EC_SUBSCRIPTION_CREDENTIALS_TYPE .

/cun: NOME DE UTILIZADOR

Um valor que define as credenciais de usuário compartilhadas usadas para fontes de eventos que não têm suas próprias credenciais de usuário.

Observação

Se esse parâmetro for usado com a opção /c, as configurações de nome de usuário e senha para fontes de eventos individuais do arquivo de configuração serão ignoradas. Se desejar usar credenciais diferentes para uma fonte de evento específica, você poderá substituir esse valor especificando os parâmetros /un e /up para uma fonte de evento específica na linha de comando de outro comando set-subscription.

/cup: SENHA

Um valor que define a senha do usuário para as credenciais de usuário compartilhadas. Quando PASSWORD está definido como * (asterisco), a palavra-passe é lida a partir da consola. Esta opção só é válida quando o parâmetro /cun é especificado.

/ica: impressões digitais

Um valor que define a lista de impressões digitais do certificado do emissor, em uma lista separada por vírgula.

Observação

Esta opção é específica apenas para subscrições iniciadas na fonte.

/as: PERMITIDO

Um valor que define uma lista separada por vírgulas de cadeia de caracteres que especifica os nomes DNS de computadores que não são de domínio e que têm permissão para iniciar assinaturas. Os nomes podem ser especificados usando curingas, como "*.mydomain.com". Por padrão, essa lista está vazia.

Observação

Esta opção é específica apenas para subscrições iniciadas na fonte.

/ds: NEGADO

Um valor que define uma lista separada por vírgulas de cadeia de caracteres que especifica os nomes DNS de computadores que não são de domínio que não têm permissão para iniciar assinaturas. Os nomes podem ser especificados usando curingas, como "*.mydomain.com". Por padrão, essa lista está vazia.

Observação

Esta opção é específica apenas para subscrições iniciadas na fonte.

/adc: SDDL

Um valor que define uma cadeia de caracteres, no formato SDDL, que especifica quais computadores de domínio têm ou não permissão para iniciar assinaturas. O padrão é permitir que todos os computadores do domínio iniciem assinaturas.

Observação

Esta opção é específica apenas para subscrições iniciadas na fonte.

Criar uma nova subscrição

A sintaxe a seguir é usada para criar uma assinatura de evento para eventos em um computador remoto.

wecutil {cs | create-subscription } CONFIGURATION_FILE [/cun:USERNAME]
[/cup:PASSWORD]

Observações

Quando um nome de usuário ou senha incorreto é especificado no comando wecutil cs , nenhum erro é relatado até que você visualize o status de tempo de execução da assinatura usando o comando wecutil gr .

Parâmetros de criação

CONFIGURATION_FILE

Um valor que especifica o caminho para o arquivo XML que contém informações de configuração de assinatura. O caminho pode ser absoluto ou relativo ao diretório atual.

O XML a seguir é um exemplo de um arquivo de configuração de assinatura que cria uma assinatura iniciada pelo coletor para encaminhar eventos do log de eventos do Aplicativo de um computador remoto para o log ForwardedEvents.

<Subscription xmlns="http://schemas.microsoft.com/2006/03/windows/events/subscription">
    <SubscriptionId>SampleCISubscription</SubscriptionId>
    <SubscriptionType>CollectorInitiated</SubscriptionType>
    <Description>Collector Initiated Subscription Sample</Description>
    <Enabled>true</Enabled>
    <Uri>http://schemas.microsoft.com/wbem/wsman/1/windows/EventLog</Uri>

    <!-- Use Normal (default), Custom, MinLatency, MinBandwidth -->
    <ConfigurationMode>Custom</ConfigurationMode>

    <Delivery Mode="Push">
        <Batching>
            <MaxItems>20</MaxItems>
            <MaxLatencyTime>60000</MaxLatencyTime>
        </Batching>
        <PushSettings>
            <HostName>thisMachine.myDomain.com</HostName>
            <Heartbeat Interval="60000"/>
        </PushSettings>
    </Delivery>

    <Expires>2010-01-01T00:00:00.000Z</Expires>

    <Query>
        <![CDATA[
            <QueryList>
                <Query Path="Application">
                    <Select>*</Select>
                </Query>
            </QueryList>
        ]]>
    </Query>

    <ReadExistingEvents>false</ReadExistingEvents>
    <TransportName>http</TransportName>
    <ContentFormat>RenderedText</ContentFormat>
    <Locale Language="en-US"/>
    <LogFile>ForwardedEvents</LogFile>
    <CredentialsType>Default</CredentialsType>

    <EventSources>
        <EventSource Enabled="true">
            <Address>mySource.myDomain.com</Address>
            <UserName>myUserName</UserName>
        </EventSource>
    </EventSources>
</Subscription>

O XML a seguir é um exemplo de um arquivo de configuração de assinatura que cria uma assinatura iniciada pela fonte para encaminhar eventos do log de eventos do Aplicativo de um computador remoto para o log ForwardedEvents.

<Subscription xmlns="http://schemas.microsoft.com/2006/03/windows/events/subscription">
    <SubscriptionId>SampleSISubscription</SubscriptionId>
    <SubscriptionType>SourceInitiated</SubscriptionType>
    <Description>Source Initiated Subscription Sample</Description>
    <Enabled>true</Enabled>
    <Uri>http://schemas.microsoft.com/wbem/wsman/1/windows/EventLog</Uri>

    <!-- Use Normal (default), Custom, MinLatency, MinBandwidth -->
    <ConfigurationMode>Custom</ConfigurationMode>

    <Delivery Mode="Push">
        <Batching>
            <MaxItems>1</MaxItems>
            <MaxLatencyTime>1000</MaxLatencyTime>
        </Batching>
        <PushSettings>
            <Heartbeat Interval="60000"/>
        </PushSettings>
    </Delivery>

    <Expires>2018-01-01T00:00:00.000Z</Expires>

    <Query>
        <![CDATA[
            <QueryList>
                <Query Path="Application">
                    <Select>Event[System/EventID='999']</Select>
                </Query>
            </QueryList>
        ]]>
    </Query>

    <ReadExistingEvents>true</ReadExistingEvents>
    <TransportName>http</TransportName>
    <ContentFormat>RenderedText</ContentFormat>
    <Locale Language="en-US"/>
    <LogFile>ForwardedEvents</LogFile>
    <AllowedSourceNonDomainComputers></AllowedSourceNonDomainComputers>
    <AllowedSourceDomainComputers>O:NSG:NSD:(A;;GA;;;DC)(A;;GA;;;NS)</AllowedSourceDomainComputers>
</Subscription>

Observação

Ao criar uma assinatura iniciada pela fonte, se AllowedSourceDomainComputers, AllowedSourceNonDomainComputers/IssuerCAList, AllowedSubjectList e DeniedSubjectList estiverem todos vazios, um padrão será fornecido para AllowedSourceDomainComputers - "O:NSG:NSD:(A;; GA;;; DC)(A;; GA;;; NS)". Esse padrão SDDL concede aos membros do grupo de domínio Computadores do Domínio, bem como ao grupo Serviço de Rede local (para o encaminhador local), a capacidade de gerar eventos para esta assinatura.

/cun: NOME DE UTILIZADOR

Um valor que define as credenciais de usuário compartilhadas usadas para fontes de eventos que não têm suas próprias credenciais de usuário. Este valor aplica-se apenas a subscrições iniciadas pelo coletor.

Observação

Se esse parâmetro for especificado, as configurações de nome de usuário e senha para fontes de eventos individuais do arquivo de configuração serão ignoradas. Se desejar usar credenciais diferentes para uma fonte de evento específica, você poderá substituir esse valor especificando os parâmetros /un e /up para uma fonte de evento específica na linha de comando de outro comando set-subscription.

/cup: SENHA

Um valor que define a senha do usuário para as credenciais de usuário compartilhadas. Quando PASSWORD está definido como "*" (asterisco), a palavra-passe é lida a partir da consola. Esta opção só é válida quando o parâmetro /cun é especificado.

Excluir uma assinatura

A sintaxe a seguir é usada para excluir uma assinatura de evento.

wecutil { ds | delete-subscription } SUBSCRIPTION_ID

Parâmetros de exclusão

SUBSCRIPTION_ID

Uma cadeia de caracteres que identifica exclusivamente uma assinatura. Esse identificador é especificado no elemento SubscriptionId no arquivo de configuração XML usado para criar a assinatura. A subscrição identificada neste parâmetro será eliminada.

Repetir uma subscrição

A sintaxe a seguir é usada para repetir uma assinatura inativa tentando reativar todas as fontes de eventos especificadas estabelecendo uma conexão com cada fonte de evento e enviando uma solicitação de assinatura remota para a fonte de evento. As fontes de eventos desabilitadas não são repetidas.

wecutil { rs | retry-subscription } SUBSCRIPTION_ID 
[EVENT_SOURCE [EVENT_SOURCE] ...]

Parâmetros de repetição

SUBSCRIPTION_ID

Uma cadeia de caracteres que identifica exclusivamente uma assinatura. Esse identificador é especificado no elemento SubscriptionId no arquivo de configuração XML usado para criar a assinatura. A subscrição identificada neste parâmetro será repetida.

EVENT_SOURCE

Um valor que identifica um computador que é uma fonte de eventos para uma assinatura de evento. Esse valor pode ser o nome de domínio totalmente qualificado para o computador, nome NetBIOS ou endereço IP.

Configurar o Serviço de Coletor de Eventos do Windows

A sintaxe a seguir é usada para configurar o serviço Coletor de Eventos do Windows para garantir que as assinaturas de eventos possam ser criadas e mantidas por meio de reinicializações do computador. Isso inclui o seguinte procedimento:

Para configurar o serviço Coletor de Eventos do Windows

  1. Habilite o canal ForwardedEvents se ele estiver desativado.
  2. Atrase o início do serviço Coletor de Eventos do Windows.
  3. Inicie o serviço Coletor de Eventos do Windows se ele não estiver em execução.
wecutil { qc | quick-config } /q:VALUE

Configurar parâmetros do coletor de eventos

/q: VALOR

Um valor que determina se o comando quick-config solicitará confirmação. VALUE pode ser verdadeiro ou falso. Se VALUE for true, o comando solicitará a confirmação. O valor predefinido é false.

Requerimentos

Requisito Valor
Cliente mínimo suportado
 Windows Vista
Servidor mínimo suportado
 Windows Server 2008
  • Last updated on