Compartir a través de

Wecutil.exe

  • Artículo

Wecutil.exe es una utilidad del recopilador de eventos de Windows que permite a un administrador crear y administrar suscripciones a eventos reenviados desde orígenes de eventos remotos que admiten el protocolo WS-Management. Los comandos, las opciones y los valores de opción no distinguen mayúsculas de minúsculas para esta utilidad.

Si recibe un mensaje que indica "El servidor RPC no está disponible" o "La interfaz es desconocida" al intentar ejecutar wecutil, debe iniciar el servicio recopilador de eventos de Windows (wecsvc). Para iniciar wecsvc, en un símbolo del sistema con privilegios elevados, escriba net start wecsvc.

Enumeración de suscripciones existentes

La siguiente sintaxis se usa para enumerar las suscripciones de eventos remotos existentes.

wecutil { es | enum-subscription }

Si usa un script para obtener los nombres de las suscripciones de la salida, deberá omitir los caracteres BOM UTF-8 en la primera línea de la salida. En el siguiente script se muestra un ejemplo de cómo se pueden omitir los caracteres bom.

setlocal enabledelayedexpansion

set bomskipped=
for /f %%i in ('wecutil es') do (
    set sub=%%i
    if not defined bomskipped (
        set sub=!sub:~3!
        set bomskipped=yes
    )
    echo !sub!
)
goto :eof

endlocal

Obtención de la configuración de la suscripción

La sintaxis siguiente se usa para mostrar los datos de configuración de la suscripción a eventos remotos.

wecutil { gs | get-subscription } SUBSCRIPTION_ID [/f:VALUE 
[/u:VALUE] ...]

Obtener parámetros de configuración

SUBSCRIPTION_ID

Cadena que identifica de forma única una suscripción. Este identificador se especifica en el elemento SubscriptionId del archivo de configuración XML que se usa para crear la suscripción.

/f:VALUE

Valor que especifica la salida de los datos de configuración de la suscripción. VALUE puede ser "XML" o "Terse", y el valor predeterminado es "Terse". Si VALUE es "XML", la salida se imprime en formato "XML". Si VALUE es "Terse", la salida se imprime en pares nombre-valor.

/u: VALUE

Valor que especifica si la salida está en formato Unicode. VALUE puede ser "true" o "false". Si VALUE es "true", la salida está en formato Unicode y, si VALUE es "false", la salida no está en formato Unicode.

Obtención del estado del entorno de ejecución de la suscripción

La sintaxis siguiente se usa para mostrar el estado del entorno de ejecución de la suscripción.

wecutil { gr | get-subscriptionruntimestatus } SUBSCRIPTION_ID
 [EVENT_SOURCE [EVENT_SOURCE] ...]

Obtener parámetros de estado

SUBSCRIPTION_ID

Cadena que identifica de forma única una suscripción. Este identificador se especifica en el elemento SubscriptionId del archivo de configuración XML que se usa para crear la suscripción.

EVENT_SOURCE

Valor que identifica un equipo que es un origen de eventos para una suscripción de eventos. Este valor puede ser el nombre de dominio completo del equipo, el nombre NetBIOS o la dirección IP.

Establecer la información de configuración de la suscripción

La sintaxis siguiente se usa para establecer los datos de configuración de la suscripción cambiando los parámetros de suscripción de la línea de comandos o mediante un archivo de configuración XML.

wecutil { ss | set_subscription } SUBSCRIPTION_ID [/e:VALUE] 
[/esa:EVENT_SOURCE [/ese:VALUE] [/aes] [/res] [/un:USERNAME] [/up:PASSWORD]] 
[/d:DESCRIPTION] [/uri:URI] [/cm:CONFIGURATION_MODE] [/ex:DATE_TIME] 
[/q:QUERY] [/dia:DIALECT] [/tn:TRANSPORTNAME] [/tp:TRANSPORTPORT] [/dm:MODE] 
[/dmi:NUMBER] [/dmlt:MS] [/hi:MS] [/cf:FORMAT] [/l:LOCALE] [/ree:[VALUE]] 
[/lf:FILENAME] [/pn:PUBLISHER] [/hn:NAME] [/ct:TYPE] 
[/cun:USERNAME] [/cup:PASSWORD] 
[/ica:THUMBPRINTS] [/as:ALLOWED] [/ds:DENIED] [/adc:SDDL]

wecutil {ss | set_subscription } /c:CONGIG_FILE [/cun:USERNAME] 
[/cup:PASSWORD]

Observaciones

Cuando se especifica un nombre de usuario o una contraseña incorrectos en el comando wecutil ss , no se notifica ningún error hasta que vea el estado en tiempo de ejecución de la suscripción mediante el comando wecutil gr .

Establecer parámetros de configuración

SUBSCRIPTION_ID

Cadena que identifica de forma única una suscripción. Este identificador se especifica en el elemento SubscriptionId del archivo de configuración XML que se usa para crear la suscripción.

/c: CONGIG_FILE

Valor que especifica la ruta de acceso al archivo XML que contiene información de configuración de suscripción. La ruta de acceso puede ser absoluta o relativa al directorio actual. Este parámetro solo se puede usar con los parámetros opcionales /cus y /cup, y es mutuamente excluyente con todos los demás parámetros.

/e: VALUE

Valor que determina si se va a habilitar o deshabilitar la suscripción. VALUE puede ser true o false. El valor predeterminado es true, que habilita la suscripción.

Nota:

Al deshabilitar una suscripción iniciada por el recopilador, el origen del evento se vuelve inactivo en lugar de deshabilitado. En una suscripción iniciada por el recopilador, puede deshabilitar un origen de eventos independiente de la suscripción.

/d: DESCRIPTION

Valor que especifica una descripción para la suscripción de eventos.

/ex: DATE_TIME

Valor que especifica la hora de expiración de la suscripción. DATE_TIME es un valor especificado en formato de fecha y hora XML estándar o ISO8601: "aaaa-MM-ddThh:mm:sss[.sss][Z]", donde "T" es el separador de hora y "Z" indica la hora UTC. Por ejemplo, si DATE_TIME es "2007-01-12T01:20:00", la hora de expiración de la suscripción es el 12 de enero de 2007, 01:20.

/uri: URI

Valor que especifica el tipo de eventos consumidos por la suscripción. La dirección del equipo de origen de eventos junto con el identificador uniforme de recursos (URI) identifica de forma única el origen de los eventos. La cadena de URI se usa para todas las direcciones de origen de eventos de la suscripción.

/cm: CONFIGURATION_MODE

Valor que especifica el modo de configuración de la suscripción de eventos. CONFIGURATION_MODE puede ser una de las siguientes cadenas: "Normal", "Custom", "MinLatency" o "MinBandwidth". La enumeración EC_SUBSCRIPTION_CONFIGURATION_MODE define los modos de configuración. Los parámetros /dm, /dmi, /hi y /dmlt solo se pueden especificar si el modo de configuración está establecido en Personalizado.

/q: QUERY

Valor que especifica la cadena de consulta de la suscripción. El formato de esta cadena puede ser diferente para distintos valores de URI y se aplica a todos los orígenes de eventos de la suscripción.

/dia: DIALECTO

Valor que especifica el dialecto que usa la cadena de consulta.

/cf: FORMAT

Valor que especifica el formato de los eventos devueltos. FORMAT puede ser "Events" o "RenderedText". Cuando el valor es "RenderedText", los eventos se devuelven con las cadenas localizadas (como cadenas de descripción de eventos) adjuntas a los eventos. El valor predeterminado de FORMAT es "RenderedText".

/l: LOCALE

Valor que especifica la configuración regional para la entrega de las cadenas localizadas en formato de texto representado. LOCALE es un identificador de referencia cultural de idioma o país, por ejemplo, "EN-us". Este parámetro solo es válido cuando el parámetro /cf se establece en "RenderedText".

/ree:[VALUE]

Valor que especifica qué eventos se van a entregar para la suscripción. VALUE puede ser true o false. Cuando VALUE es true, todos los eventos existentes se leen de los orígenes de eventos de suscripción. Cuando VALUE es false, solo se entregan los eventos futuros (que llegan). El valor predeterminado es true cuando se especifica /ree sin un valor y el valor predeterminado es false si no se especifica /ree.

/lf: FILENAME

Valor que especifica el registro de eventos local que se usa para almacenar eventos recibidos de la suscripción de eventos.

/pn: PUBLISHER

Valor que especifica el nombre del publicador de eventos (proveedor). Debe ser un publicador que posee o importa el registro especificado por el parámetro /lf.

/dm: MODE

Valor que especifica el modo de entrega de la suscripción. MODE puede ser push o pull. Esta opción solo es válida si el parámetro /cm está establecido en Personalizado.

/dmi: NUMBER

Valor que especifica el número máximo de elementos para la entrega por lotes en la suscripción de eventos. Esta opción solo es válida si el parámetro /cm está establecido en Personalizado.

/dmlt: MS

Valor que especifica la latencia máxima permitida en la entrega de un lote de eventos. MS es el número de milisegundos permitidos. Este parámetro solo es válido si el parámetro /cm está establecido en Personalizado.

/hi: MS

Valor que especifica el intervalo de latido de la suscripción. MS es el número de milisegundos usados en el intervalo. Este parámetro solo es válido si el parámetro /cm está establecido en Personalizado.

/tn: TRANSPORTNAME

Valor que especifica el nombre del transporte utilizado para conectarse al equipo de origen de eventos remoto.

/esa: EVENT_SOURCE

Valor que especifica la dirección de un equipo de origen de eventos. EVENT_SOURCE es una cadena que identifica un equipo de origen de eventos mediante el nombre de dominio completo del equipo, el nombre NetBIOS o la dirección IP. Este parámetro se puede usar con los parámetros /ese, /aes, /res o /un y /up.

/ese: VALUE

Valor que determina si se va a habilitar o deshabilitar un origen de eventos. VALUE puede ser true o false. El valor predeterminado es true, lo que habilita el origen del evento. Este parámetro solo se usa si se usa el parámetro /esa.

/Aes

Valor que agrega el origen de eventos especificado por el parámetro /esa si el origen del evento aún no forma parte de la suscripción de eventos. Si el equipo especificado por el parámetro /esa ya forma parte de la suscripción, se muestra un error. Este parámetro solo se permite si se usa el parámetro /esa.

/res

Valor que quita el origen de eventos especificado por el parámetro /esa si el origen del evento ya forma parte de la suscripción de eventos. Si el equipo especificado por el parámetro /esa no forma parte de la suscripción, se muestra un error. Este parámetro solo se permite si se usa el parámetro /esa.

/un: USERNAME

Valor que especifica el nombre de usuario usado en las credenciales para conectarse al origen de eventos especificado en el parámetro /esa. Este parámetro solo se permite si se usa el parámetro /esa.

/up: PASSWORD

Valor que especifica la contraseña del nombre de usuario especificado en el parámetro /un. El nombre de usuario y las credenciales de contraseña se usan para conectarse al origen del evento especificado en el parámetro /esa. Este parámetro solo se permite si se usa el parámetro /un.

/tp: TRANSPORTPORT

Valor que especifica el número de puerto utilizado por el transporte al conectarse a un equipo de origen de eventos remoto.

/hn: NAME

Valor que especifica el nombre DNS del equipo local. Los orígenes de eventos remotos usan este nombre para devolver eventos y solo se deben usar para suscripciones de inserción.

/ct: TYPE

Valor que especifica el tipo de credencial utilizado para acceder a orígenes de eventos remotos. TYPE puede ser "default", "negotiate", "digest", "basic" o "localmachine". El valor predeterminado es "default". Estos valores se definen en la enumeración EC_SUBSCRIPTION_CREDENTIALS_TYPE .

/cun: USERNAME

Valor que establece las credenciales de usuario compartidas usadas para orígenes de eventos que no tienen sus propias credenciales de usuario.

Nota:

Si este parámetro se usa con la opción /c, se omiten los valores de nombre de usuario y contraseña para orígenes de eventos individuales del archivo de configuración. Si desea usar credenciales diferentes para un origen de eventos específico, puede invalidar este valor especificando los parámetros /un y /up para un origen de eventos específico en la línea de comandos de otro comando set-subscription.

/cup: CONTRASEÑA

Valor que establece la contraseña de usuario para las credenciales de usuario compartidas. Cuando PASSWORD se establece en * (asterisco), la contraseña se lee desde la consola. Esta opción solo es válida cuando se especifica el parámetro /cun.

/ica: HUELLAS DIGITALES

Valor que establece la lista de huellas digitales del certificado emisor, en una lista separada por comas.

Nota:

Esta opción solo es específica de las suscripciones iniciadas por el origen.

/as: PERMITIDO

Valor que establece una lista separada por comas de cadena que especifica los nombres DNS de equipos que no son de dominio que pueden iniciar suscripciones. Los nombres se pueden especificar mediante caracteres comodín, como "*.mydomain.com". Esta lista aparece vacía de forma predeterminada.

Nota

Esta opción solo es específica de las suscripciones iniciadas por el origen.

/ds: DENEGADO

Valor que establece una lista separada por comas de cadena que especifica los nombres DNS de equipos que no son de dominio que no pueden iniciar suscripciones. Los nombres se pueden especificar mediante caracteres comodín, como "*.mydomain.com". Esta lista aparece vacía de forma predeterminada.

Nota

Esta opción solo es específica de las suscripciones iniciadas por el origen.

/adc: SDDL

Valor que establece una cadena, en formato SDDL, que especifica qué equipos de dominio se permiten o no pueden iniciar suscripciones. El valor predeterminado es permitir que todos los equipos de dominio inicien suscripciones.

Nota

Esta opción solo es específica de las suscripciones iniciadas por el origen.

Crear una suscripción

La sintaxis siguiente se usa para crear una suscripción de eventos para eventos en un equipo remoto.

wecutil {cs | create-subscription } CONFIGURATION_FILE [/cun:USERNAME]
[/cup:PASSWORD]

Observaciones

Cuando se especifica un nombre de usuario o una contraseña incorrectos en el comando wecutil cs , no se notifica ningún error hasta que vea el estado en tiempo de ejecución de la suscripción mediante el comando wecutil gr .

Parámetros de creación

FICHERO_CONFIGURACIÓN

Valor que especifica la ruta de acceso al archivo XML que contiene información de configuración de la suscripción. La ruta de acceso puede ser absoluta o relativa al directorio actual.

El siguiente XML es un ejemplo de un archivo de configuración de suscripción que crea una suscripción iniciada por el recopilador para reenviar eventos desde el registro de eventos application de un equipo remoto al registro ForwardedEvents.

<Subscription xmlns="http://schemas.microsoft.com/2006/03/windows/events/subscription">
    <SubscriptionId>SampleCISubscription</SubscriptionId>
    <SubscriptionType>CollectorInitiated</SubscriptionType>
    <Description>Collector Initiated Subscription Sample</Description>
    <Enabled>true</Enabled>
    <Uri>http://schemas.microsoft.com/wbem/wsman/1/windows/EventLog</Uri>

    <!-- Use Normal (default), Custom, MinLatency, MinBandwidth -->
    <ConfigurationMode>Custom</ConfigurationMode>

    <Delivery Mode="Push">
        <Batching>
            <MaxItems>20</MaxItems>
            <MaxLatencyTime>60000</MaxLatencyTime>
        </Batching>
        <PushSettings>
            <HostName>thisMachine.myDomain.com</HostName>
            <Heartbeat Interval="60000"/>
        </PushSettings>
    </Delivery>

    <Expires>2010-01-01T00:00:00.000Z</Expires>

    <Query>
        <![CDATA[
            <QueryList>
                <Query Path="Application">
                    <Select>*</Select>
                </Query>
            </QueryList>
        ]]>
    </Query>

    <ReadExistingEvents>false</ReadExistingEvents>
    <TransportName>http</TransportName>
    <ContentFormat>RenderedText</ContentFormat>
    <Locale Language="en-US"/>
    <LogFile>ForwardedEvents</LogFile>
    <CredentialsType>Default</CredentialsType>

    <EventSources>
        <EventSource Enabled="true">
            <Address>mySource.myDomain.com</Address>
            <UserName>myUserName</UserName>
        </EventSource>
    </EventSources>
</Subscription>

El siguiente XML es un ejemplo de un archivo de configuración de suscripción que crea una suscripción iniciada por el origen para reenviar eventos desde el registro de eventos application de un equipo remoto al registro ForwardedEvents.

<Subscription xmlns="http://schemas.microsoft.com/2006/03/windows/events/subscription">
    <SubscriptionId>SampleSISubscription</SubscriptionId>
    <SubscriptionType>SourceInitiated</SubscriptionType>
    <Description>Source Initiated Subscription Sample</Description>
    <Enabled>true</Enabled>
    <Uri>http://schemas.microsoft.com/wbem/wsman/1/windows/EventLog</Uri>

    <!-- Use Normal (default), Custom, MinLatency, MinBandwidth -->
    <ConfigurationMode>Custom</ConfigurationMode>

    <Delivery Mode="Push">
        <Batching>
            <MaxItems>1</MaxItems>
            <MaxLatencyTime>1000</MaxLatencyTime>
        </Batching>
        <PushSettings>
            <Heartbeat Interval="60000"/>
        </PushSettings>
    </Delivery>

    <Expires>2018-01-01T00:00:00.000Z</Expires>

    <Query>
        <![CDATA[
            <QueryList>
                <Query Path="Application">
                    <Select>Event[System/EventID='999']</Select>
                </Query>
            </QueryList>
        ]]>
    </Query>

    <ReadExistingEvents>true</ReadExistingEvents>
    <TransportName>http</TransportName>
    <ContentFormat>RenderedText</ContentFormat>
    <Locale Language="en-US"/>
    <LogFile>ForwardedEvents</LogFile>
    <AllowedSourceNonDomainComputers></AllowedSourceNonDomainComputers>
    <AllowedSourceDomainComputers>O:NSG:NSD:(A;;GA;;;DC)(A;;GA;;;NS)</AllowedSourceDomainComputers>
</Subscription>

Nota:

Al crear una suscripción iniciada por el origen, si AllowedSourceDomainComputers, AllowedSourceNonDomainComputers/IssuerCAList, AllowedSubjectList y DeniedSubjectList están vacíos, se proporcionará un valor predeterminado para AllowedSourceDomainComputers - "O:NSG:NSD:(A;; GA;;;;D C)(A;; GA;;; NS)". Este SDDL predeterminado concede a los miembros del grupo de dominios Equipos de dominio, así como al grupo de servicios de red local (para el reenviador local), la capacidad de generar eventos para esta suscripción.

/cun: USERNAME

Valor que establece las credenciales de usuario compartidas usadas para orígenes de eventos que no tienen sus propias credenciales de usuario. Este valor solo se aplica a las suscripciones iniciadas por el recopilador.

Nota

Si se especifica este parámetro, se omiten los valores de nombre de usuario y contraseña para orígenes de eventos individuales del archivo de configuración. Si desea usar credenciales diferentes para un origen de eventos específico, puede invalidar este valor especificando los parámetros /un y /up para un origen de eventos específico en la línea de comandos de otro comando set-subscription.

/cup: CONTRASEÑA

Valor que establece la contraseña de usuario para las credenciales de usuario compartidas. Cuando PASSWORD se establece en "*" (asterisco), la contraseña se lee desde la consola. Esta opción solo es válida cuando se especifica el parámetro /cun.

Eliminar una suscripción

La sintaxis siguiente se usa para eliminar una suscripción de eventos.

wecutil { ds | delete-subscription } SUBSCRIPTION_ID

Parámetros de eliminación

SUBSCRIPTION_ID

Cadena que identifica de forma única una suscripción. Este identificador se especifica en el elemento SubscriptionId del archivo de configuración XML que se usa para crear la suscripción. Se eliminará la suscripción identificada en este parámetro.

Reintentar una suscripción

La sintaxis siguiente se usa para reintentar una suscripción inactiva intentando reactivar todos los orígenes de eventos especificados o estableciendo una conexión a cada origen de eventos y enviando una solicitud de suscripción remota al origen del evento. Los orígenes de eventos deshabilitados no se reintentan.

wecutil { rs | retry-subscription } SUBSCRIPTION_ID 
[EVENT_SOURCE [EVENT_SOURCE] ...]

Parámetros de reintento

SUBSCRIPTION_ID

Cadena que identifica de forma única una suscripción. Este identificador se especifica en el elemento SubscriptionId del archivo de configuración XML que se usa para crear la suscripción. Se reintentará la suscripción identificada en este parámetro.

EVENT_SOURCE

Valor que identifica un equipo que es un origen de eventos para una suscripción de eventos. Este valor puede ser el nombre de dominio completo del equipo, el nombre NetBIOS o la dirección IP.

Configurar el servicio recopilador de eventos de Windows

La sintaxis siguiente se usa para configurar el servicio Recopilador de eventos de Windows para asegurarse de que las suscripciones de eventos se pueden crear y mantener a través de reinicios del equipo. Esto incluye el procedimiento siguiente:

Para configurar el servicio recopilador de eventos de Windows

  1. Habilite el canal ForwardedEvents si está deshabilitado.
  2. Retrasar el inicio del servicio recopilador de eventos de Windows.
  3. Inicie el servicio Recopilador de eventos de Windows si no se está ejecutando.
wecutil { qc | quick-config } /q:VALUE

Configurar parámetros del recopilador de eventos

/q: VALUE

Valor que determina si el comando quick-config solicitará confirmación. VALUE puede ser true o false. Si VALUE es true, el comando solicitará confirmación. El valor predeterminado es false.

Requisitos

Requisito Value
Cliente mínimo compatible
 Windows Vista
Servidor mínimo compatible
 Windows Server 2008