Поделиться через

Wecutil.exe

  • Статья

Wecutil.exe — это служебная программа сборщика событий Windows, которая позволяет администратору создавать подписки на события, пересылаемые из удаленных источников событий, поддерживающих протокол WS-Management, и управлять ими. Для этой программы в командах, параметрах и значениях параметров регистр не учитывается.

Если при попытке запустить wecutil появляется сообщение "Сервер RPC недоступен" или "Интерфейс неизвестен", необходимо запустить службу сборщика событий Windows (wecsvc). Чтобы запустить wecsvc, в командной строке с повышенными привилегиями введите net start wecsvc.

Вывод списка существующих подписок

Следующий синтаксис используется для вывода списка существующих подписок на удаленные события.

wecutil { es | enum-subscription }

Если вы используете скрипт для получения имен подписок из выходных данных, необходимо обойти символы UTF-8 BOM в первой строке выходных данных. В следующем сценарии показан пример того, как можно пропустить символы BOM.

setlocal enabledelayedexpansion

set bomskipped=
for /f %%i in ('wecutil es') do (
    set sub=%%i
    if not defined bomskipped (
        set sub=!sub:~3!
        set bomskipped=yes
    )
    echo !sub!
)
goto :eof

endlocal

Получение конфигурации подписки

Следующий синтаксис используется для отображения данных конфигурации подписки на удаленные события.

wecutil { gs | get-subscription } SUBSCRIPTION_ID [/f:VALUE 
[/u:VALUE] ...]

Получение параметров конфигурации

SUBSCRIPTION_ID

Строка, однозначно идентифицирующая подписку. Этот идентификатор указывается в элементе SubscriptionId в XML-файле конфигурации, используемом для создания подписки.

/f:VALUE

Значение типа , указывающее выходные данные конфигурации подписки. Значением может быть "XML" или "Terse", а по умолчанию — "Terse". Если value имеет значение "XML", выходные данные печатаются в формате XML. Если значение VALUE равно "Terse", выходные данные отображаются в парах "имя-значение".

/u: VALUE

Значение типа , указывающее, имеются ли выходные данные в формате Юникода. Значение может иметь значение true или false. Если значение VALUE имеет значение true, выходные данные будут использоваться в формате Юникода, а если значение VALUE имеет значение false, то выходные данные не будут в формате Юникода.

Получение состояния среды выполнения подписки

Следующий синтаксис используется для отображения состояния среды выполнения подписки.

wecutil { gr | get-subscriptionruntimestatus } SUBSCRIPTION_ID
 [EVENT_SOURCE [EVENT_SOURCE] ...]

Получение параметров состояния

SUBSCRIPTION_ID

Строка, однозначно идентифицирующая подписку. Этот идентификатор указывается в элементе SubscriptionId в XML-файле конфигурации, используемом для создания подписки.

EVENT_SOURCE

Значение типа , определяющее компьютер, который является источником событий для подписки на события. Это может быть полное доменное имя компьютера, NetBIOS-имя или IP-адрес.

Настройка сведений о конфигурации подписки

Следующий синтаксис используется для задания данных конфигурации подписки путем изменения параметров подписки из командной строки или использования XML-файла конфигурации.

wecutil { ss | set_subscription } SUBSCRIPTION_ID [/e:VALUE] 
[/esa:EVENT_SOURCE [/ese:VALUE] [/aes] [/res] [/un:USERNAME] [/up:PASSWORD]] 
[/d:DESCRIPTION] [/uri:URI] [/cm:CONFIGURATION_MODE] [/ex:DATE_TIME] 
[/q:QUERY] [/dia:DIALECT] [/tn:TRANSPORTNAME] [/tp:TRANSPORTPORT] [/dm:MODE] 
[/dmi:NUMBER] [/dmlt:MS] [/hi:MS] [/cf:FORMAT] [/l:LOCALE] [/ree:[VALUE]] 
[/lf:FILENAME] [/pn:PUBLISHER] [/hn:NAME] [/ct:TYPE] 
[/cun:USERNAME] [/cup:PASSWORD] 
[/ica:THUMBPRINTS] [/as:ALLOWED] [/ds:DENIED] [/adc:SDDL]

wecutil {ss | set_subscription } /c:CONGIG_FILE [/cun:USERNAME] 
[/cup:PASSWORD]

Комментарии

Если в команде wecutil ss указано неправильное имя пользователя или пароль, ошибка не выводится, пока вы не просмотрите состояние среды выполнения подписки с помощью команды wecutil gr .

Настройка параметров конфигурации

SUBSCRIPTION_ID

Строка, однозначно идентифицирующая подписку. Этот идентификатор указывается в элементе SubscriptionId в XML-файле конфигурации, используемом для создания подписки.

/c: CONGIG_FILE

Значение типа , указывающее путь к XML-файлу, который содержит сведения о конфигурации подписки. Путь может быть абсолютным или относительным к текущему каталогу. Этот параметр можно использовать только с необязательными параметрами /cus и /cup и является взаимоисключающим со всеми другими параметрами.

/e: VALUE

Значение , определяющее, следует ли включать или отключать подписку. Значение может иметь значение true или false. Значение по умолчанию — true, которое включает подписку.

Примечание

При отключении подписки, инициированной сборщиком, источник событий становится неактивным, а не отключенным. В подписке, инициированной сборщиком, можно отключить источник событий независимо от подписки.

/d: ОПИСАНИЕ

Значение типа , указывающее описание подписки на события.

/ex: DATE_TIME

Значение типа , указывающее время окончания срока действия подписки. DATE_TIME — это значение, указанное в стандартном формате XML или ISO8601 даты и времени: "гггг-ММ-ддТчч:мм:сс[.sss][Z]", где "T" — это разделитель времени, а "Z" указывает время в формате UTC. Например, если DATE_TIME — "2007-01-12T01:20:00", то срок действия подписки — 12 января 2007 г., 01:20.

/URI: URI

Значение типа , указывающее тип событий, используемых подпиской. Адрес компьютера источника событий вместе с универсальным идентификатором ресурса (URI) однозначно идентифицирует источник событий. Строка URI используется для всех адресов источников событий в подписке.

/cm: CONFIGURATION_MODE

Значение типа , указывающее режим конфигурации подписки на события. CONFIGURATION_MODE может быть одной из следующих строк: "Normal", "Custom", "MinLatency" или "MinBandwidth". Перечисление EC_SUBSCRIPTION_CONFIGURATION_MODE определяет режимы конфигурации. Параметры /dm, /dmi, /hi и /dmlt можно указать, только если для режима конфигурации задано значение Пользовательский.

/q: ЗАПРОС

Значение типа , указывающее строку запроса для подписки. Формат этой строки может отличаться для разных значений URI и применяться ко всем источникам событий в подписке.

/dia: ДИАЛЕКТ

Значение типа , указывающее диалект, используемый строкой запроса.

/cf: FORMAT

Значение типа , указывающее формат возвращаемых событий. ФОРМАТ может иметь значение Events или RenderedText. Если значение равно RenderedText, события возвращаются с локализованными строками (например, строками описания событий), присоединенными к событиям. Значение по умолчанию FORMAT — "RenderedText".

/l: LOCALE

Значение типа , указывающее языковой стандарт для доставки локализованных строк в отрисованном текстовом формате. LOCALE — это идентификатор языка или страны и региональных параметров, например "EN-us". Этот параметр действителен, только если для параметра /cf задано значение RenderedText.

/ree:[VALUE]

Значение типа , указывающее, какие события должны быть доставлены для подписки. Значение может иметь значение true или false. Если значение VALUE имеет значение true, все существующие события считываются из источников событий подписки. Если значение VALUE имеет значение false, доставляются только будущие (поступающие) события. Значение по умолчанию имеет значение true, если параметр /ree указан без значения, а значение по умолчанию — false, если параметр /ree не указан.

/lf: FILENAME

Значение типа , указывающее локальный журнал событий, используемый для хранения событий, полученных из подписки на события.

/pn: PUBLISHER

Значение типа , указывающее имя издателя события (поставщика). Это должен быть издатель, который владеет или импортирует журнал, указанный параметром /lf.

/dm: MODE

Значение типа , указывающее режим доставки подписки. Режим mode может быть либо push, либо pull. Этот параметр действителен только в том случае, если параметр /cm имеет значение Пользовательский.

/dmi: NUMBER

Значение типа , указывающее максимальное количество элементов для пакетной доставки в подписке на события. Этот параметр действителен только в том случае, если параметр /cm имеет значение Пользовательский.

/dmlt: MS

Значение типа , указывающее максимальную задержку, разрешенную при доставке пакета событий. MS — допустимое число миллисекундах. Этот параметр действителен, только если параметру /cm присвоено значение Пользовательский.

/hi: MS

Значение типа , указывающее интервал пульса для подписки. MS — это количество миллисекундах, используемых в интервале. Этот параметр действителен, только если параметру /cm присвоено значение Пользовательский.

/tn: TRANSPORTNAME

Значение типа , указывающее имя транспорта, используемого для подключения к удаленному компьютеру источника событий.

/esa: EVENT_SOURCE

Значение типа , указывающее адрес компьютера источника событий. EVENT_SOURCE — это строка, идентифицирующая компьютер-источник события, используя полное доменное имя компьютера, NetBIOS-имя или IP-адрес. Этот параметр можно использовать с параметрами /ese, /aes, /res или /un и /up.

/ese: VALUE

Значение , определяющее, следует ли включать или отключать источник событий. Значение может иметь значение true или false. Значение по умолчанию — true, которое включает источник событий. Этот параметр используется только в том случае, если используется параметр /esa.

/Aes

Значение , добавляющее источник событий, указанный параметром /esa, если источник событий еще не входит в подписку на события. Если компьютер, указанный параметром /esa, уже является частью подписки, отображается сообщение об ошибке. Этот параметр разрешен, только если используется параметр /esa.

/Res

Значение , которое удаляет источник событий, указанный параметром /esa, если источник событий уже входит в подписку на события. Если компьютер, указанный параметром /esa, не является частью подписки, отображается сообщение об ошибке. Этот параметр разрешен, только если используется параметр /esa.

/un: USERNAME

Значение типа , указывающее имя пользователя, используемое в учетных данных для подключения к источнику событий, указанному в параметре /esa. Этот параметр разрешен, только если используется параметр /esa.

/up: PASSWORD

Значение типа , указывающее пароль для имени пользователя, указанного в параметре /un. Учетные данные пользователя и пароля используются для подключения к источнику событий, указанному в параметре /esa. Этот параметр разрешен, только если используется параметр /un.

/tp: TRANSPORTPORT

Значение типа , указывающее номер порта, используемого транспортом при подключении к удаленному компьютеру источника событий.

/hn: NAME

Значение типа , указывающее DNS-имя локального компьютера. Это имя используется удаленными источниками событий для отправки событий и должно использоваться только для принудительных подписок.

/ct: TYPE

Значение типа , указывающее тип учетных данных, используемых для доступа к удаленным источникам событий. Type может быть "default", "negotiate", "digest", "basic" или "localmachine". Значение по умолчанию — "default". Эти значения определяются в перечислении EC_SUBSCRIPTION_CREDENTIALS_TYPE .

/cun: ИМЯ ПОЛЬЗОВАТЕЛЯ

Значение , которое задает учетные данные общего пользователя, используемые для источников событий, у которых нет собственных учетных данных пользователя.

Примечание

Если этот параметр используется с параметром /c, то параметры имени пользователя и пароля для отдельных источников событий из файла конфигурации игнорируются. Если вы хотите использовать разные учетные данные для определенного источника событий, можно переопределить это значение, указав параметры /un и /up для определенного источника событий в командной строке другой команды set-subscription.

/cup: PASSWORD

Значение типа , которое задает пароль пользователя для общих учетных данных пользователя. Если параметр PASSWORD имеет значение * (звездочка), пароль считывается из консоли. Этот параметр действителен, только если указан параметр /cun.

/ica: THUMBPRINTS

Значение , которое задает список отпечатков сертификатов издателя в списке с разделителями-запятыми.

Примечание

Этот параметр предназначен только для подписок, инициированных источником.

/as: РАЗРЕШЕНО

Значение типа , задающее разделенный запятыми список строк, указывающий DNS-имена компьютеров, не являющихся доменами, которым разрешено инициировать подписки. Имена можно указать с помощью подстановочных знаков, например "*.mydomain.com". По умолчанию этот список пустой.

Примечание

Этот параметр предназначен только для подписок, инициированных источником.

/ds: ОТКАЗАНО

Значение типа , задающее разделенный запятыми список строк, указывающих DNS-имена компьютеров, не являющихся доменами, которым запрещено инициировать подписки. Имена можно указать с помощью подстановочных знаков, например "*.mydomain.com". По умолчанию этот список пустой.

Примечание

Этот параметр предназначен только для подписок, инициированных источником.

/adc: SDDL

Значение , задающее строку в формате SDDL, указывающую, какие компьютеры домена разрешены или не разрешены для запуска подписок. По умолчанию все компьютеры домена могут инициировать подписки.

Примечание

Этот параметр предназначен только для подписок, инициированных источником.

Создание новой подписки

Следующий синтаксис используется для создания подписки на события на удаленном компьютере.

wecutil {cs | create-subscription } CONFIGURATION_FILE [/cun:USERNAME]
[/cup:PASSWORD]

Комментарии

Если в команде wecutil cs указано неправильное имя пользователя или пароль, ошибка не выводится до тех пор, пока вы не просмотрите состояние среды выполнения подписки с помощью команды wecutil gr .

Параметры создания

CONFIGURATION_FILE

Значение типа , указывающее путь к XML-файлу, который содержит сведения о конфигурации подписки. Путь может быть абсолютным или относительным к текущему каталогу.

Ниже приведен пример файла конфигурации подписки, который создает подписку, инициированную сборщиком, для пересылки событий из журнала событий приложения удаленного компьютера в журнал ForwardedEvents.

<Subscription xmlns="http://schemas.microsoft.com/2006/03/windows/events/subscription">
    <SubscriptionId>SampleCISubscription</SubscriptionId>
    <SubscriptionType>CollectorInitiated</SubscriptionType>
    <Description>Collector Initiated Subscription Sample</Description>
    <Enabled>true</Enabled>
    <Uri>http://schemas.microsoft.com/wbem/wsman/1/windows/EventLog</Uri>

    <!-- Use Normal (default), Custom, MinLatency, MinBandwidth -->
    <ConfigurationMode>Custom</ConfigurationMode>

    <Delivery Mode="Push">
        <Batching>
            <MaxItems>20</MaxItems>
            <MaxLatencyTime>60000</MaxLatencyTime>
        </Batching>
        <PushSettings>
            <HostName>thisMachine.myDomain.com</HostName>
            <Heartbeat Interval="60000"/>
        </PushSettings>
    </Delivery>

    <Expires>2010-01-01T00:00:00.000Z</Expires>

    <Query>
        <![CDATA[
            <QueryList>
                <Query Path="Application">
                    <Select>*</Select>
                </Query>
            </QueryList>
        ]]>
    </Query>

    <ReadExistingEvents>false</ReadExistingEvents>
    <TransportName>http</TransportName>
    <ContentFormat>RenderedText</ContentFormat>
    <Locale Language="en-US"/>
    <LogFile>ForwardedEvents</LogFile>
    <CredentialsType>Default</CredentialsType>

    <EventSources>
        <EventSource Enabled="true">
            <Address>mySource.myDomain.com</Address>
            <UserName>myUserName</UserName>
        </EventSource>
    </EventSources>
</Subscription>

Ниже приведен пример файла конфигурации подписки, который создает исходную подписку для пересылки событий из журнала событий приложения удаленного компьютера в журнал ForwardedEvents.

<Subscription xmlns="http://schemas.microsoft.com/2006/03/windows/events/subscription">
    <SubscriptionId>SampleSISubscription</SubscriptionId>
    <SubscriptionType>SourceInitiated</SubscriptionType>
    <Description>Source Initiated Subscription Sample</Description>
    <Enabled>true</Enabled>
    <Uri>http://schemas.microsoft.com/wbem/wsman/1/windows/EventLog</Uri>

    <!-- Use Normal (default), Custom, MinLatency, MinBandwidth -->
    <ConfigurationMode>Custom</ConfigurationMode>

    <Delivery Mode="Push">
        <Batching>
            <MaxItems>1</MaxItems>
            <MaxLatencyTime>1000</MaxLatencyTime>
        </Batching>
        <PushSettings>
            <Heartbeat Interval="60000"/>
        </PushSettings>
    </Delivery>

    <Expires>2018-01-01T00:00:00.000Z</Expires>

    <Query>
        <![CDATA[
            <QueryList>
                <Query Path="Application">
                    <Select>Event[System/EventID='999']</Select>
                </Query>
            </QueryList>
        ]]>
    </Query>

    <ReadExistingEvents>true</ReadExistingEvents>
    <TransportName>http</TransportName>
    <ContentFormat>RenderedText</ContentFormat>
    <Locale Language="en-US"/>
    <LogFile>ForwardedEvents</LogFile>
    <AllowedSourceNonDomainComputers></AllowedSourceNonDomainComputers>
    <AllowedSourceDomainComputers>O:NSG:NSD:(A;;GA;;;DC)(A;;GA;;;NS)</AllowedSourceDomainComputers>
</Subscription>

Примечание

При создании исходной подписки, если AllowedSourceDomainComputers, AllowedSourceNonDomainComputers/IssuerCAList, AllowedSubjectList и DeniedSubjectList являются пустыми, то для AllowedSourceDomainComputers будет предоставлено значение по умолчанию — "O:NSG:NSD:(A;; общедоступная версия; ;D C)(A;; GA;;; NS)". Этот SDDL по умолчанию предоставляет членам группы доменов "Компьютеры домена" и локальной сетевой службы (для локального сервера пересылки) возможность создавать события для этой подписки.

/cun: ИМЯ ПОЛЬЗОВАТЕЛЯ

Значение , которое задает учетные данные общего пользователя, используемые для источников событий, у которых нет собственных учетных данных пользователя. Это значение применяется только к подпискам, инициированным сборщиком.

Примечание

Если этот параметр указан, параметры имени пользователя и пароля для отдельных источников событий из файла конфигурации игнорируются. Если вы хотите использовать разные учетные данные для определенного источника событий, можно переопределить это значение, указав параметры /un и /up для определенного источника событий в командной строке другой команды set-subscription.

/cup: PASSWORD

Значение типа , которое задает пароль пользователя для общих учетных данных пользователя. Если для параметра PASSWORD задано значение "*" (звездочка), пароль считывается из консоли. Этот параметр действителен, только если указан параметр /cun.

Удаление подписки

Для удаления подписки на события используется следующий синтаксис.

wecutil { ds | delete-subscription } SUBSCRIPTION_ID

Параметры удаления

SUBSCRIPTION_ID

Строка, однозначно идентифицирующая подписку. Этот идентификатор указывается в элементе SubscriptionId в XML-файле конфигурации, используемом для создания подписки. Подписка, указанная в этом параметре, будет удалена.

Повторная попытка подписки

Следующий синтаксис используется для повтора неактивной подписки путем повторной активации всех или указанных источников событий путем установки подключения к каждому источнику событий и отправки удаленного запроса подписки к источнику событий. Отключенные источники событий не выполняются повторно.

wecutil { rs | retry-subscription } SUBSCRIPTION_ID 
[EVENT_SOURCE [EVENT_SOURCE] ...]

Параметры повтора

SUBSCRIPTION_ID

Строка, однозначно идентифицирующая подписку. Этот идентификатор указывается в элементе SubscriptionId в XML-файле конфигурации, используемом для создания подписки. Подписка, указанная в этом параметре, будет повторна.

EVENT_SOURCE

Значение типа , определяющее компьютер, который является источником событий для подписки на события. Это может быть полное доменное имя компьютера, NetBIOS-имя или IP-адрес.

Настройка службы сборщика событий Windows

Следующий синтаксис используется для настройки службы сборщика событий Windows, чтобы гарантировать возможность создания и поддержки подписок на события путем перезагрузки компьютера. Сюда входит следующая процедура:

Настройка службы сборщика событий Windows

  1. Включите канал ForwardedEvents, если он отключен.
  2. Задержка запуска службы сборщика событий Windows.
  3. Запустите службу сборщика событий Windows, если она не запущена.
wecutil { qc | quick-config } /q:VALUE

Настройка параметров сборщика событий

/q: VALUE

Значение , определяющее, будет ли команда быстрой настройки запрашивать подтверждение. Значение может иметь значение true или false. Если значение VALUE имеет значение true, команда запросит подтверждение. Значением по умолчанию является false.

Требования

Требование Значение
Минимальная версия клиента
 Windows Vista
Минимальная версия сервера
 Windows Server 2008