Wecutil.exe

Wecutil.exe är ett Windows Event Collector-verktyg som gör det möjligt för en administratör att skapa och hantera prenumerationer på händelser som vidarebefordras från fjärranslutna händelsekällor som stöder WS-Management-protokollet. Kommandon, alternativ och alternativvärden är skiftlägeskänsliga för det här verktyget.

Om du får ett meddelande med texten "RPC-servern är inte tillgänglig" eller "Gränssnittet är okänt" när du försöker köra wecutil måste du starta tjänsten Windows Event Collector (wecsvc). Om du vill starta wecsvc skriver du net start wecsvc vid en upphöjd kommandotolk.

Visa en lista över befintliga prenumerationer

Följande syntax används för att lista befintliga fjärrhändelseprenumerationer.

wecutil { es | enum-subscription }

Om du använder ett skript för att hämta namnen på prenumerationerna från utdata måste du kringgå UTF-8 BOM-tecknen på den första raden i utdata. Följande skript visar ett exempel på hur du kan hoppa över BOM-tecknen.

setlocal enabledelayedexpansion

set bomskipped=
for /f %%i in ('wecutil es') do (
    set sub=%%i
    if not defined bomskipped (
        set sub=!sub:~3!
        set bomskipped=yes
    )
    echo !sub!
)
goto :eof

endlocal

Hämta prenumerationskonfiguration

Följande syntax används för att visa konfigurationsdata för fjärrhändelseprenumeration.

wecutil { gs | get-subscription } SUBSCRIPTION_ID [/f:VALUE 
[/u:VALUE] ...]

Hämta konfigurationsparametrar

SUBSCRIPTION_ID

En sträng som unikt identifierar en prenumeration. Den här identifieraren anges i elementet SubscriptionId i XML-konfigurationsfilen som används för att skapa prenumerationen.

/f:VALUE

Ett värde som anger utdata för prenumerationskonfigurationsdata. VALUE kan vara "XML" eller "Terse" och standardvärdet är "Terse". Om VALUE är "XML" skrivs utdata ut i XML-format. Om VALUE är "Terse" skrivs utdata ut i namn/värde-par.

/u: VÄRDE

Ett värde som anger om utdata är i Unicode-format. VÄRDET kan vara "sant" eller "falskt". Om VALUE är "true" är utdata i Unicode-format, och om VALUE är "false" är utdata inte i Unicode-format.

Hämta status för prenumerationskörning

Följande syntax används för att visa prenumerationens körningsstatus.

wecutil { gr | get-subscriptionruntimestatus } SUBSCRIPTION_ID
 [EVENT_SOURCE [EVENT_SOURCE] ...]

Hämta statusparametrar

SUBSCRIPTION_ID

En sträng som unikt identifierar en prenumeration. Den här identifieraren anges i elementet SubscriptionId i XML-konfigurationsfilen som används för att skapa prenumerationen.

EVENT_SOURCE

Ett värde som identifierar en dator som är en händelsekälla för en händelseprenumeration. Det här värdet kan vara det fullständigt kvalificerade domännamnet för datorn, NetBIOS-namnet eller IP-adressen.

Ange konfigurationsinformation för prenumeration

Följande syntax används för att ange prenumerationskonfigurationsdata genom att ändra prenumerationsparametrar från kommandoraden eller med hjälp av en XML-konfigurationsfil.

wecutil { ss | set_subscription } SUBSCRIPTION_ID [/e:VALUE] 
[/esa:EVENT_SOURCE [/ese:VALUE] [/aes] [/res] [/un:USERNAME] [/up:PASSWORD]] 
[/d:DESCRIPTION] [/uri:URI] [/cm:CONFIGURATION_MODE] [/ex:DATE_TIME] 
[/q:QUERY] [/dia:DIALECT] [/tn:TRANSPORTNAME] [/tp:TRANSPORTPORT] [/dm:MODE] 
[/dmi:NUMBER] [/dmlt:MS] [/hi:MS] [/cf:FORMAT] [/l:LOCALE] [/ree:[VALUE]] 
[/lf:FILENAME] [/pn:PUBLISHER] [/hn:NAME] [/ct:TYPE] 
[/cun:USERNAME] [/cup:PASSWORD] 
[/ica:THUMBPRINTS] [/as:ALLOWED] [/ds:DENIED] [/adc:SDDL]

wecutil {ss | set_subscription } /c:CONGIG_FILE [/cun:USERNAME] 
[/cup:PASSWORD]

Anmärkningar

När ett felaktigt användarnamn eller lösenord anges i kommandot wecutil ss rapporteras inget fel förrän du visar körningsstatusen för prenumerationen med kommandot wecutil gr .

Ange konfigurationsparametrar

SUBSCRIPTION_ID

En sträng som unikt identifierar en prenumeration. Den här identifieraren anges i elementet SubscriptionId i XML-konfigurationsfilen som används för att skapa prenumerationen.

/c: CONFIG_FILE

Ett värde som anger sökvägen till XML-filen som innehåller information om prenumerationskonfiguration. Sökvägen kan vara absolut eller relativ till den aktuella katalogen. Den här parametern kan endast användas med de valfria parametrarna /cus och /cup och är ömsesidigt uteslutande med alla andra parametrar.

/e: VÄRDE

Ett värde som avgör om prenumerationen ska aktiveras eller inaktiveras. VÄRDE kan vara sant eller falskt. Standardvärdet är sant, vilket aktiverar prenumerationen.

Anmärkning

När du inaktiverar en insamlarinitierad prenumeration blir händelsekällan inaktiv i stället för inaktiverad. I en insamlarinitierad prenumeration kan du inaktivera en händelsekälla oberoende av prenumerationen.

/d: BESKRIVNING

Ett värde som anger en beskrivning av händelseprenumerationen.

/ex: DATE_TIME

Ett värde som anger prenumerationens förfallotid. DATE_TIME är ett värde som anges i standard-XML eller ISO8601 datum-tidsformat: "åååå-MM-ddThh:mm:ss[.sss][Z]" där "T" är tidsavgränsaren och "Z" anger UTC-tid. Om DATE_TIME till exempel är "2007-01-12T01:20:00" är prenumerationens förfallotid den 12 januari 2007, 01:20.

/uri: URI

Ett värde som anger vilken typ av händelser som används av prenumerationen. Adressen till händelsekällans dator tillsammans med den enhetliga resursidentifieraren (URI) identifierar händelsekällan unikt. URI-strängen används för alla händelsekällans adresser i prenumerationen.

/cm: CONFIGURATION_MODE

Ett värde som anger konfigurationsläget för händelseprenumerationen. CONFIGURATION_MODE kan vara en av följande strängar: "Normal", "Custom", "MinLatency" eller "MinBandwidth". Uppräkningen EC_SUBSCRIPTION_CONFIGURATION_MODE definierar konfigurationslägena. Parametrarna /dm, /dmi, /hi och /dmlt kan bara anges om konfigurationsläget är inställt på Anpassad.

/q: FRÅGA

Ett värde som anger frågesträngen för prenumerationen. Formatet för den här strängen kan vara annorlunda för olika URI-värden och gäller för alla händelsekällor i prenumerationen.

/dia: DIALEKT

Ett värde som anger den dialekt som frågesträngen använder.

/cf: FORMAT

Ett värde som anger formatet för de returnerade händelserna. FORMAT kan vara "Events" eller "RenderText". När värdet är "RenderedText" returneras händelserna med de lokaliserade strängarna (till exempel händelsebeskrivningssträngar) som är kopplade till händelserna. Standardvärdet för FORMAT är "Renderadtext".

/l: NATIONELLA INSTÄLLNINGAR

Ett värde som anger språkvarianten för leverans av de lokaliserade strängarna i renderat textformat. LOCALE är en språk-/landskulturidentifierare, till exempel "EN-us". Den här parametern är endast giltig när parametern /cf är inställd på "Renderadtext".

/ree:[VALUE]

Ett värde som anger vilka händelser som ska levereras för prenumerationen. VÄRDE kan vara sant eller falskt. När VÄRDE är sant läss alla befintliga händelser från prenumerationshändelsekällorna. När VALUE är falskt levereras endast framtida (ankommande) händelser. Standardvärdet är sant när /ree anges utan ett värde och standardvärdet är falskt om /ree inte har angetts.

/lf: FILENAME

Ett värde som anger den lokala händelselogg som används för att lagra händelser som tagits emot från händelseprenumerationen.

/pn: PUBLISHER

Ett värde som anger händelseutgivarens (providerns) namn. Det måste vara en utgivare som äger eller importerar loggen som anges av parametern /lf.

/dm: LÄGE

Ett värde som anger leveransläget för prenumerationen. LÄGET kan vara antingen push- eller pull-överföring. Det här alternativet är endast giltigt om parametern /cm är inställd på Anpassad.

/dmi: NUMBER

Ett värde som anger det maximala antalet artiklar för batchleverans i händelseprenumerationen. Det här alternativet är endast giltigt om parametern /cm är inställd på Anpassad.

/dmlt: MS

Ett värde som anger den maximala svarstiden som tillåts vid leverans av en batch med händelser. MS är antalet millisekunder som tillåts. Den här parametern är endast giltig om parametern /cm är inställd på Anpassad.

/hi: MS

Ett värde som anger pulsslagsintervallet för prenumerationen. MS är antalet millisekunder som används i intervallet. Den här parametern är endast giltig om parametern /cm är inställd på Anpassad.

/tn: TRANSPORTNAME

Ett värde som anger namnet på den transport som används för att ansluta till fjärrhändelsekällans dator.

/esa: EVENT_SOURCE

Ett värde som anger adressen till en händelsekälladatorn. EVENT_SOURCE är en sträng som identifierar en händelsekälla med hjälp av det fullständigt kvalificerade domännamnet för datorn, NetBIOS-namnet eller IP-adressen. Den här parametern kan användas med parametrarna /ese, /aes, /res eller /un och /up.

/ese: VÄRDE

Ett värde som avgör om en händelsekälla ska aktiveras eller inaktiveras. VÄRDE kan vara sant eller falskt. Standardvärdet är sant, vilket aktiverar händelsekällan. Den här parametern används endast om parametern /esa används.

/Aes

Ett värde som lägger till händelsekällan som anges av parametern /esa om händelsekällan inte redan ingår i händelseprenumerationen. Om den dator som anges av parametern /esa redan är en del av prenumerationen visas ett fel. Den här parametern tillåts endast om parametern /esa används.

/Res

Ett värde som tar bort händelsekällan som anges av parametern /esa om händelsekällan redan ingår i händelseprenumerationen. Om datorn som anges av parametern /esa inte ingår i prenumerationen visas ett fel. Den här parametern tillåts endast om parametern /esa används.

/un: USERNAME

Ett värde som anger användarnamnet som används i autentiseringsuppgifterna för att ansluta till händelsekällan som anges i parametern /esa. Den här parametern tillåts endast om parametern /esa används.

/up: LÖSENORD

Ett värde som anger lösenordet för användarnamnet som anges i parametern /un. Användarnamnet och autentiseringsuppgifterna för lösenord används för att ansluta till händelsekällan som anges i parametern /esa. Den här parametern tillåts endast om parametern /un används.

/tp: TRANSPORTPORT

Ett värde som anger det portnummer som används av transporten när du ansluter till en fjärrdator för händelsekälla.

/hn: NAMN

Ett värde som anger DNS-namnet på den lokala datorn. Det här namnet används av fjärrhändelsekällor för att skicka tillbaka händelser och måste endast användas för push-prenumerationer.

/ct: TYP

Ett värde som anger vilken typ av autentiseringsuppgifter som används för att komma åt fjärrhändelsekällor. TYPE kan vara "default", "negotiate", "digest", "basic" eller "localmachine". Standardvärdet är "default". Dessa värden definieras i EC_SUBSCRIPTION_CREDENTIALS_TYPE uppräkning.

/cun: USERNAME

Ett värde som anger de autentiseringsuppgifter för delade användare som används för händelsekällor som inte har sina egna användarautentiseringsuppgifter.

Anmärkning

Om den här parametern används med alternativet /c ignoreras inställningar för användarnamn och lösenord för enskilda händelsekällor från konfigurationsfilen. Om du vill använda olika autentiseringsuppgifter för en specifik händelsekälla kan du åsidosätta det här värdet genom att ange parametrarna /un och /up för en specifik händelsekälla på kommandoraden för ett annat set-subscription-kommando.

/cup: LÖSENORD

Ett värde som anger användarlösenordet för autentiseringsuppgifterna för delad användare. När PASSWORD är inställt på * (asterisk) läss lösenordet från konsolen. Det här alternativet är endast giltigt när parametern /cun har angetts.

/ica: TUMAVTRYCK

Ett värde som anger listan över tumavtryck för utfärdarcertifikat i en kommaavgränsad lista.

Anmärkning

Det här alternativet är endast specifikt för källinitierade prenumerationer.

/as: TILLÅTEN

Ett värde som anger en kommaavgränsad lista med strängar som anger DNS-namnen på icke-domändatorer som tillåts initiera prenumerationer. Namnen kan anges med jokertecken, till exempel "*.mydomain.com". Som standard är den här listan tom.

Anmärkning

Det här alternativet är endast specifikt för källinitierade prenumerationer.

/ds: NEKAD

Ett värde som anger en kommaavgränsad lista med strängar som anger DNS-namnen på icke-domändatorer som inte får initiera prenumerationer. Namnen kan anges med jokertecken, till exempel "*.mydomain.com". Som standard är den här listan tom.

Anmärkning

Det här alternativet är endast specifikt för källinitierade prenumerationer.

/adc: SDDL

Ett värde som anger en sträng i SDDL-format som anger vilka domändatorer som tillåts eller inte får initiera prenumerationer. Standardinställningen är att tillåta att alla domändatorer initierar prenumerationer.

Anmärkning

Det här alternativet är endast specifikt för källinitierade prenumerationer.

Skapa en ny prenumeration

Följande syntax används för att skapa en händelseprenumeration för händelser på en fjärrdator.

wecutil {cs | create-subscription } CONFIGURATION_FILE [/cun:USERNAME]
[/cup:PASSWORD]

Anmärkningar

När ett felaktigt användarnamn eller lösenord anges i kommandot wecutil cs rapporteras inget fel förrän du visar körningsstatusen för prenumerationen med kommandot wecutil gr .

Skapandeparametrar

CONFIGURATION_FILE

Ett värde som anger sökvägen till XML-filen som innehåller information om prenumerationskonfiguration. Sökvägen kan vara absolut eller relativ till den aktuella katalogen.

Följande XML är ett exempel på en prenumerationskonfigurationsfil som skapar en insamlarinitierad prenumeration för att vidarebefordra händelser från programhändelseloggen för en fjärrdator till loggen ForwardedEvents.

<Subscription xmlns="http://schemas.microsoft.com/2006/03/windows/events/subscription">
    <SubscriptionId>SampleCISubscription</SubscriptionId>
    <SubscriptionType>CollectorInitiated</SubscriptionType>
    <Description>Collector Initiated Subscription Sample</Description>
    <Enabled>true</Enabled>
    <Uri>http://schemas.microsoft.com/wbem/wsman/1/windows/EventLog</Uri>

    <!-- Use Normal (default), Custom, MinLatency, MinBandwidth -->
    <ConfigurationMode>Custom</ConfigurationMode>

    <Delivery Mode="Push">
        <Batching>
            <MaxItems>20</MaxItems>
            <MaxLatencyTime>60000</MaxLatencyTime>
        </Batching>
        <PushSettings>
            <HostName>thisMachine.myDomain.com</HostName>
            <Heartbeat Interval="60000"/>
        </PushSettings>
    </Delivery>

    <Expires>2010-01-01T00:00:00.000Z</Expires>

    <Query>
        <![CDATA[
            <QueryList>
                <Query Path="Application">
                    <Select>*</Select>
                </Query>
            </QueryList>
        ]]>
    </Query>

    <ReadExistingEvents>false</ReadExistingEvents>
    <TransportName>http</TransportName>
    <ContentFormat>RenderedText</ContentFormat>
    <Locale Language="en-US"/>
    <LogFile>ForwardedEvents</LogFile>
    <CredentialsType>Default</CredentialsType>

    <EventSources>
        <EventSource Enabled="true">
            <Address>mySource.myDomain.com</Address>
            <UserName>myUserName</UserName>
        </EventSource>
    </EventSources>
</Subscription>

Följande XML är ett exempel på en prenumerationskonfigurationsfil som skapar en källinitierad prenumeration för att vidarebefordra händelser från programhändelseloggen på en fjärrdator till loggen ForwardedEvents.

<Subscription xmlns="http://schemas.microsoft.com/2006/03/windows/events/subscription">
    <SubscriptionId>SampleSISubscription</SubscriptionId>
    <SubscriptionType>SourceInitiated</SubscriptionType>
    <Description>Source Initiated Subscription Sample</Description>
    <Enabled>true</Enabled>
    <Uri>http://schemas.microsoft.com/wbem/wsman/1/windows/EventLog</Uri>

    <!-- Use Normal (default), Custom, MinLatency, MinBandwidth -->
    <ConfigurationMode>Custom</ConfigurationMode>

    <Delivery Mode="Push">
        <Batching>
            <MaxItems>1</MaxItems>
            <MaxLatencyTime>1000</MaxLatencyTime>
        </Batching>
        <PushSettings>
            <Heartbeat Interval="60000"/>
        </PushSettings>
    </Delivery>

    <Expires>2018-01-01T00:00:00.000Z</Expires>

    <Query>
        <![CDATA[
            <QueryList>
                <Query Path="Application">
                    <Select>Event[System/EventID='999']</Select>
                </Query>
            </QueryList>
        ]]>
    </Query>

    <ReadExistingEvents>true</ReadExistingEvents>
    <TransportName>http</TransportName>
    <ContentFormat>RenderedText</ContentFormat>
    <Locale Language="en-US"/>
    <LogFile>ForwardedEvents</LogFile>
    <AllowedSourceNonDomainComputers></AllowedSourceNonDomainComputers>
    <AllowedSourceDomainComputers>O:NSG:NSD:(A;;GA;;;DC)(A;;GA;;;NS)</AllowedSourceDomainComputers>
</Subscription>

Anmärkning

När du skapar en källinitierad prenumeration, om AllowedSourceDomainComputers, AllowedSourceNonDomainComputers/IssuerCAList, AllowedSubjectList och DeniedSubjectList alla är tomma, kommer ett standardvärde att anges för AllowedSourceDomainComputers – "O:NSG:NSD:(A;; GA;;; DC)(A;; GA;;; NS)". Den här SDDL-standardinställningen ger medlemmar i domängruppen Domändatorer samt den lokala nätverkstjänstgruppen (för den lokala vidarebefordraren) möjlighet att skapa händelser för den här prenumerationen.

/cun: USERNAME

Ett värde som anger de autentiseringsuppgifter för delade användare som används för händelsekällor som inte har sina egna användarautentiseringsuppgifter. Det här värdet gäller endast för insamlarinitierade prenumerationer.

Anmärkning

Om den här parametern anges ignoreras inställningarna för användarnamn och lösenord för enskilda händelsekällor från konfigurationsfilen. Om du vill använda olika autentiseringsuppgifter för en specifik händelsekälla kan du åsidosätta det här värdet genom att ange parametrarna /un och /up för en specifik händelsekälla på kommandoraden för ett annat set-subscription-kommando.

/cup: LÖSENORD

Ett värde som anger användarlösenordet för autentiseringsuppgifterna för delad användare. När PASSWORD är inställt på "*" (asterisk) läss lösenordet från konsolen. Det här alternativet är endast giltigt när parametern /cun har angetts.

Ta bort en prenumeration

Följande syntax används för att ta bort en händelseprenumeration.

wecutil { ds | delete-subscription } SUBSCRIPTION_ID

Borttagningsparametrar

SUBSCRIPTION_ID

En sträng som unikt identifierar en prenumeration. Den här identifieraren anges i elementet SubscriptionId i XML-konfigurationsfilen som används för att skapa prenumerationen. Prenumerationen som identifieras i den här parametern tas bort.

Försök igen med en prenumeration

Följande syntax används för att försöka igen med en inaktiv prenumeration genom att försöka återaktivera alla eller angivna händelsekällor genom att upprätta en anslutning till varje händelsekälla och skicka en begäran om fjärrprenumeration till händelsekällan. Inaktiverade händelsekällor görs inte på nytt.

wecutil { rs | retry-subscription } SUBSCRIPTION_ID 
[EVENT_SOURCE [EVENT_SOURCE] ...]

Försök med parametrar igen

SUBSCRIPTION_ID

En sträng som unikt identifierar en prenumeration. Den här identifieraren anges i elementet SubscriptionId i XML-konfigurationsfilen som används för att skapa prenumerationen. Prenumerationen som identifieras i den här parametern kommer att göras om.

EVENT_SOURCE

Ett värde som identifierar en dator som är en händelsekälla för en händelseprenumeration. Det här värdet kan vara det fullständigt kvalificerade domännamnet för datorn, NetBIOS-namnet eller IP-adressen.

Konfigurera Windows Event Collector Service

Följande syntax används för att konfigurera Windows Event Collector-tjänsten för att säkerställa att händelseprenumerationer kan skapas och upprätthållas via omstarter av datorn. Detta inkluderar följande procedur:

Så här konfigurerar du Windows Event Collector-tjänsten

  1. Aktivera forwardedEvents-kanalen om den är inaktiverad.
  2. Fördröj starten av Windows Event Collector-tjänsten.
  3. Starta Windows Event Collector-tjänsten om den inte körs.
wecutil { qc | quick-config } /q:VALUE

Konfigurera parametrar för händelseinsamlare

/q: VÄRDE

Ett värde som avgör om kommandot quick-config frågar efter bekräftelse. VÄRDE kan vara sant eller falskt. Om VÄRDE är sant uppmanas kommandot att bekräfta. Standardvärdet är falskt.

Kravspecifikation

Krav Värde
Lägsta klient som stöds
 Windows Vista
Lägsta server som stöds
 Windows Server 2008
  • Last updated on