Compartilhar via


Wecutil.exe

Wecutil.exe é um utilitário coletor de eventos do Windows que permite que um administrador crie e gerencie assinaturas para eventos encaminhados de fontes de eventos remotos que dão suporte ao protocolo WS-Management. Comandos, opções e valores de opção não diferenciam maiúsculas de minúsculas para esse utilitário.

Se você receber uma mensagem informando "O servidor RPC está indisponível" ou "A interface é desconhecida" ao tentar executar o wecutil, será necessário iniciar o serviço Coletor de Eventos do Windows (wecsvc). Para iniciar o wecsvc, em um prompt de comando com privilégios elevados, digite net start wecsvc.

Listar assinaturas existentes

A sintaxe a seguir é usada para listar assinaturas de eventos remotos existentes.

wecutil { es | enum-subscription }

Se você usar um script para obter os nomes das assinaturas da saída, precisará ignorar os caracteres BOM UTF-8 na primeira linha da saída. O script a seguir mostra um exemplo de como você pode ignorar os caracteres BOM.

setlocal enabledelayedexpansion

set bomskipped=
for /f %%i in ('wecutil es') do (
    set sub=%%i
    if not defined bomskipped (
        set sub=!sub:~3!
        set bomskipped=yes
    )
    echo !sub!
)
goto :eof

endlocal

Obter configuração de assinatura

A sintaxe a seguir é usada para exibir dados de configuração de assinatura de evento remoto.

wecutil { gs | get-subscription } SUBSCRIPTION_ID [/f:VALUE 
[/u:VALUE] ...]

Obter parâmetros de configuração

SUBSCRIPTION_ID

Uma cadeia de caracteres que identifica exclusivamente uma assinatura. Esse identificador é especificado no elemento SubscriptionId no arquivo de configuração XML usado para criar a assinatura.

/f:VALUE

Um valor que especifica a saída dos dados de configuração da assinatura. VALUE pode ser "XML" ou "Terse" e o padrão é "Terse". Se VALUE for "XML", a saída será impressa no formato "XML". Se VALUE for "Terse", a saída será impressa em pares nome-valor.

/u: VALUE

Um valor que especifica se a saída está no formato Unicode. VALUE pode ser "true" ou "false". Se VALUE for "true", a saída estará no formato Unicode e, se VALUE for "false", a saída não estará no formato Unicode.

Obter status de runtime de assinatura

A sintaxe a seguir é usada para exibir o runtime da assinatura status.

wecutil { gr | get-subscriptionruntimestatus } SUBSCRIPTION_ID
 [EVENT_SOURCE [EVENT_SOURCE] ...]

Obter parâmetros de status

SUBSCRIPTION_ID

Uma cadeia de caracteres que identifica exclusivamente uma assinatura. Esse identificador é especificado no elemento SubscriptionId no arquivo de configuração XML usado para criar a assinatura.

EVENT_SOURCE

Um valor que identifica um computador que é uma origem de evento para uma assinatura de evento. Esse valor pode ser o nome de domínio totalmente qualificado para o computador, o nome NetBIOS ou o endereço IP.

Definir informações de configuração de assinatura

A sintaxe a seguir é usada para definir dados de configuração de assinatura alterando os parâmetros de assinatura da linha de comando ou usando um arquivo de configuração XML.

wecutil { ss | set_subscription } SUBSCRIPTION_ID [/e:VALUE] 
[/esa:EVENT_SOURCE [/ese:VALUE] [/aes] [/res] [/un:USERNAME] [/up:PASSWORD]] 
[/d:DESCRIPTION] [/uri:URI] [/cm:CONFIGURATION_MODE] [/ex:DATE_TIME] 
[/q:QUERY] [/dia:DIALECT] [/tn:TRANSPORTNAME] [/tp:TRANSPORTPORT] [/dm:MODE] 
[/dmi:NUMBER] [/dmlt:MS] [/hi:MS] [/cf:FORMAT] [/l:LOCALE] [/ree:[VALUE]] 
[/lf:FILENAME] [/pn:PUBLISHER] [/hn:NAME] [/ct:TYPE] 
[/cun:USERNAME] [/cup:PASSWORD] 
[/ica:THUMBPRINTS] [/as:ALLOWED] [/ds:DENIED] [/adc:SDDL]

wecutil {ss | set_subscription } /c:CONGIG_FILE [/cun:USERNAME] 
[/cup:PASSWORD]

Comentários

Quando um nome de usuário ou senha incorreto é especificado no comando wecutil ss, nenhum erro é relatado até que você exiba o runtime status da assinatura usando o comando wecutil gr.

Definir parâmetros de configuração

SUBSCRIPTION_ID

Uma cadeia de caracteres que identifica exclusivamente uma assinatura. Esse identificador é especificado no elemento SubscriptionId no arquivo de configuração XML usado para criar a assinatura.

/c: CONGIG_FILE

Um valor que especifica o caminho para o arquivo XML que contém informações de configuração de assinatura. O caminho pode ser absoluto ou relativo ao diretório atual. Esse parâmetro só pode ser usado com os parâmetros opcionais /cus e /cup e é mutuamente exclusivo com todos os outros parâmetros.

/e: VALUE

Um valor que determina se a assinatura deve ser habilitada ou desabilitada. VALUE pode ser true ou false. O valor padrão é true, que habilita a assinatura.

Observação

Quando você desabilitar uma assinatura iniciada pelo coletor, a origem do evento ficará inativa em vez de desabilitada. Em uma assinatura iniciada pelo coletor, você pode desabilitar uma fonte de evento independente da assinatura.

/d: DESCRIPTION

Um valor que especifica uma descrição para a assinatura do evento.

/ex: DATE_TIME

Um valor que especifica o tempo de expiração da assinatura. DATE_TIME é um valor especificado no formato de data/hora padrão XML ou ISO8601: "aaaa-MM-ddThh:mm:ss[.sss][Z]" em que "T" é o separador de hora e "Z" indica a hora UTC. Por exemplo, se DATE_TIME for "2007-01-12T01:20:00", o tempo de expiração da assinatura será 12 de janeiro de 2007, 01:20.

/uri: URI

Um valor que especifica o tipo de eventos consumidos pela assinatura. O endereço do computador de origem do evento, juntamente com o URI (uniform resource identifier), identifica exclusivamente a origem dos eventos. A cadeia de caracteres de URI é usada para todos os endereços de origem do evento na assinatura.

/cm: CONFIGURATION_MODE

Um valor que especifica o modo de configuração da assinatura de evento. CONFIGURATION_MODE pode ser uma das seguintes cadeias de caracteres: "Normal", "Personalizado", "MinLatency" ou "MinBandwidth". A enumeração EC_SUBSCRIPTION_CONFIGURATION_MODE define os modos de configuração. Os parâmetros /dm, /dmi, /hi e /dmlt só poderão ser especificados se o modo de configuração estiver definido como Personalizado.

/q: QUERY

Um valor que especifica a cadeia de caracteres de consulta para a assinatura. O formato dessa cadeia de caracteres pode ser diferente para valores de URI diferentes e se aplica a todas as fontes de evento na assinatura.

/dia: DIALECT

Um valor que especifica o dialeto que a cadeia de caracteres de consulta usa.

/cf: FORMAT

Um valor que especifica o formato dos eventos retornados. FORMAT pode ser "Events" ou "RenderedText". Quando o valor é "RenderedText", os eventos são retornados com as cadeias de caracteres localizadas (como cadeias de caracteres de descrição do evento) anexadas aos eventos. O valor padrão de FORMAT é "RenderedText".

/l: LOCALE

Um valor que especifica a localidade para entrega das cadeias de caracteres localizadas no formato de texto renderizado. LOCALE é um identificador de cultura de idioma/país, por exemplo, "EN-us". Esse parâmetro só é válido quando o parâmetro /cf é definido como "RenderedText".

/ree:[VALUE]

Um valor que especifica quais eventos devem ser entregues para a assinatura. VALUE pode ser true ou false. Quando VALUE é true, todos os eventos existentes são lidos das fontes de evento de assinatura. Quando VALUE for false, somente eventos futuros (chegando) serão entregues. O padrão é true quando /ree é especificado sem um valor e o padrão é false se /ree não for especificado.

/lf: FILENAME

Um valor que especifica o log de eventos local usado para armazenar eventos recebidos da assinatura do evento.

/pn: PUBLISHER

Um valor que especifica o nome do editor de eventos (provedor). Ele deve ser um publicador que possui ou importa o log especificado pelo parâmetro /lf.

/dm: MODE

Um valor que especifica o modo de entrega da assinatura. MODE pode ser push ou pull. Essa opção só será válida se o parâmetro /cm estiver definido como Personalizado.

/dmi: NUMBER

Um valor que especifica o número máximo de itens para entrega em lote na assinatura do evento. Essa opção só será válida se o parâmetro /cm estiver definido como Personalizado.

/dmlt: MS

Um valor que especifica a latência máxima permitida na entrega de um lote de eventos. MS é o número de milissegundos permitido. Esse parâmetro só será válido se o parâmetro /cm estiver definido como Personalizado.

/oi: MS

Um valor que especifica o intervalo de pulsação da assinatura. MS é o número de milissegundos usados no intervalo. Esse parâmetro só será válido se o parâmetro /cm estiver definido como Personalizado.

/tn: TRANSPORTNAME

Um valor que especifica o nome do transporte usado para se conectar ao computador de origem do evento remoto.

/esa: EVENT_SOURCE

Um valor que especifica o endereço de um computador de origem do evento. EVENT_SOURCE é uma cadeia de caracteres que identifica um computador de origem de evento usando o nome de domínio totalmente qualificado para o computador, nome NetBIOS ou endereço IP. Esse parâmetro pode ser usado com os parâmetros /ese, /aes, /res ou /un e /up.

/ese: VALUE

Um valor que determina se a origem do evento deve ser habilitada ou desabilitada. VALUE pode ser true ou false. O valor padrão é true, que habilita a origem do evento. Esse parâmetro só será usado se o parâmetro /esa for usado.

/Aes

Um valor que adiciona a origem do evento especificada pelo parâmetro /esa se a origem do evento ainda não fizer parte da assinatura do evento. Se o computador especificado pelo parâmetro /esa já fizer parte da assinatura, um erro será exibido. Esse parâmetro só será permitido se o parâmetro /esa for usado.

/Res

Um valor que remove a origem do evento especificada pelo parâmetro /esa se a origem do evento já fizer parte da assinatura do evento. Se o computador especificado pelo parâmetro /esa não fizer parte da assinatura, um erro será exibido. Esse parâmetro só será permitido se o parâmetro /esa for usado.

/un: USERNAME

Um valor que especifica o nome de usuário usado nas credenciais para se conectar à origem do evento especificada no parâmetro /esa. Esse parâmetro só será permitido se o parâmetro /esa for usado.

/up: PASSWORD

Um valor que especifica a senha para o nome de usuário especificado no parâmetro /un. As credenciais de nome de usuário e senha são usadas para se conectar à origem do evento especificada no parâmetro /esa. Esse parâmetro só será permitido se o parâmetro /un for usado.

/tp: TRANSPORTPORT

Um valor que especifica o número da porta usado pelo transporte ao se conectar a um computador de origem de evento remoto.

/hn: NAME

Um valor que especifica o nome DNS do computador local. Esse nome é usado por fontes de eventos remotos para efetuar push de eventos e deve ser usado apenas para assinaturas push.

/ct: TYPE

Um valor que especifica o tipo de credencial usado para acessar fontes de eventos remotos. TYPE pode ser "default", "negotiate", "digest", "basic" ou "localmachine". O padrão é "padrão". Esses valores são definidos na enumeração EC_SUBSCRIPTION_CREDENTIALS_TYPE .

/cun: USERNAME

Um valor que define as credenciais de usuário compartilhadas usadas para fontes de evento que não têm suas próprias credenciais de usuário.

Observação

Se esse parâmetro for usado com a opção /c, as configurações de nome de usuário e senha para fontes de eventos individuais do arquivo de configuração serão ignoradas. Se você quiser usar credenciais diferentes para uma fonte de evento específica, poderá substituir esse valor especificando os parâmetros /un e /up para uma fonte de evento específica na linha de comando de outro comando set-subscription.

/cup: PASSWORD

Um valor que define a senha do usuário para as credenciais de usuário compartilhado. Quando PASSWORD é definido como * (asterisco), a senha é lida no console. Essa opção só é válida quando o parâmetro /cun é especificado.

/ica: THUMBPRINTS

Um valor que define a lista de impressões digitais do certificado do emissor, em uma lista separada por vírgulas.

Observação

Essa opção é específica apenas para assinaturas iniciadas pela origem.

/as: ALLOWED

Um valor que define uma lista separada por vírgulas de cadeia de caracteres que especifica os nomes DNS de computadores que não são de domínio que têm permissão para iniciar assinaturas. Os nomes podem ser especificados usando curingas, como "*.mydomain.com". Por padrão, essa lista está vazia.

Observação

Essa opção é específica apenas para assinaturas iniciadas pela origem.

/ds: NEGADO

Um valor que define uma lista separada por vírgulas de cadeia de caracteres que especifica os nomes DNS de computadores não domínio que não têm permissão para iniciar assinaturas. Os nomes podem ser especificados usando curingas, como "*.mydomain.com". Por padrão, essa lista está vazia.

Observação

Essa opção é específica apenas para assinaturas iniciadas pela origem.

/adc: SDDL

Um valor que define uma cadeia de caracteres, no formato SDDL, que especifica quais computadores de domínio têm permissão ou não têm permissão para iniciar assinaturas. O padrão é permitir que todos os computadores de domínio iniciem assinaturas.

Observação

Essa opção é específica apenas para assinaturas iniciadas pela origem.

Criar uma nova assinatura

A sintaxe a seguir é usada para criar uma assinatura de evento para eventos em um computador remoto.

wecutil {cs | create-subscription } CONFIGURATION_FILE [/cun:USERNAME]
[/cup:PASSWORD] 

Comentários

Quando um nome de usuário ou senha incorreto é especificado no comando wecutil cs, nenhum erro é relatado até que você exiba o runtime status da assinatura usando o comando wecutil gr.

Parâmetros de criação

CONFIGURATION_FILE

Um valor que especifica o caminho para o arquivo XML que contém informações de configuração de assinatura. O caminho pode ser absoluto ou relativo ao diretório atual.

O XML a seguir é um exemplo de um arquivo de configuração de assinatura que cria uma assinatura iniciada pelo coletor para encaminhar eventos do log de eventos do aplicativo de um computador remoto para o log ForwardedEvents.

<Subscription xmlns="http://schemas.microsoft.com/2006/03/windows/events/subscription">
    <SubscriptionId>SampleCISubscription</SubscriptionId>
    <SubscriptionType>CollectorInitiated</SubscriptionType>
    <Description>Collector Initiated Subscription Sample</Description>
    <Enabled>true</Enabled>
    <Uri>http://schemas.microsoft.com/wbem/wsman/1/windows/EventLog</Uri>

    <!-- Use Normal (default), Custom, MinLatency, MinBandwidth -->
    <ConfigurationMode>Custom</ConfigurationMode>

    <Delivery Mode="Push">
        <Batching>
            <MaxItems>20</MaxItems>
            <MaxLatencyTime>60000</MaxLatencyTime>
        </Batching>
        <PushSettings>
            <HostName>thisMachine.myDomain.com</HostName>
            <Heartbeat Interval="60000"/>
        </PushSettings>
    </Delivery>

    <Expires>2010-01-01T00:00:00.000Z</Expires>

    <Query>
        <![CDATA[
            <QueryList>
                <Query Path="Application">
                    <Select>*</Select>
                </Query>
            </QueryList>
        ]]>
    </Query>

    <ReadExistingEvents>false</ReadExistingEvents>
    <TransportName>http</TransportName>
    <ContentFormat>RenderedText</ContentFormat>
    <Locale Language="en-US"/>
    <LogFile>ForwardedEvents</LogFile>
    <CredentialsType>Default</CredentialsType>

    <EventSources>
        <EventSource Enabled="true">
            <Address>mySource.myDomain.com</Address>
            <UserName>myUserName</UserName>
        </EventSource>
    </EventSources>
</Subscription>

O XML a seguir é um exemplo de um arquivo de configuração de assinatura que cria uma assinatura iniciada pela origem para encaminhar eventos do log de eventos do aplicativo de um computador remoto para o log ForwardedEvents.

<Subscription xmlns="http://schemas.microsoft.com/2006/03/windows/events/subscription">
    <SubscriptionId>SampleSISubscription</SubscriptionId>
    <SubscriptionType>SourceInitiated</SubscriptionType>
    <Description>Source Initiated Subscription Sample</Description>
    <Enabled>true</Enabled>
    <Uri>http://schemas.microsoft.com/wbem/wsman/1/windows/EventLog</Uri>

    <!-- Use Normal (default), Custom, MinLatency, MinBandwidth -->
    <ConfigurationMode>Custom</ConfigurationMode>

    <Delivery Mode="Push">
        <Batching>
            <MaxItems>1</MaxItems>
            <MaxLatencyTime>1000</MaxLatencyTime>
        </Batching>
        <PushSettings>
            <Heartbeat Interval="60000"/>
        </PushSettings>
    </Delivery>

    <Expires>2018-01-01T00:00:00.000Z</Expires>

    <Query>
        <![CDATA[
            <QueryList>
                <Query Path="Application">
                    <Select>Event[System/EventID='999']</Select>
                </Query>
            </QueryList>
        ]]>
    </Query>

    <ReadExistingEvents>true</ReadExistingEvents>
    <TransportName>http</TransportName>
    <ContentFormat>RenderedText</ContentFormat>
    <Locale Language="en-US"/>
    <LogFile>ForwardedEvents</LogFile>
    <AllowedSourceNonDomainComputers></AllowedSourceNonDomainComputers>
    <AllowedSourceDomainComputers>O:NSG:NSD:(A;;GA;;;DC)(A;;GA;;;NS)</AllowedSourceDomainComputers>
</Subscription>

Observação

Ao criar uma assinatura iniciada pela fonte, se AllowedSourceDomainComputers, AllowedSourceNonDomainComputers/IssuerCAList, AllowedSubjectList e DeniedSubjectList estiverem vazios, um padrão será fornecido para AllowedSourceDomainComputers - "O:NSG:NSD:(A;; GA;;;D C)(A;; GA;;; NS)". Esse padrão SDDL concede aos membros do grupo de domínio Computadores de Domínio, bem como ao grupo de Serviços de Rede local (para o encaminhador local), a capacidade de gerar eventos para essa assinatura.

/cun: USERNAME

Um valor que define as credenciais de usuário compartilhadas usadas para fontes de evento que não têm suas próprias credenciais de usuário. Esse valor se aplica somente a assinaturas iniciadas pelo coletor.

Observação

Se esse parâmetro for especificado, as configurações de nome de usuário e senha para fontes de eventos individuais do arquivo de configuração serão ignoradas. Se você quiser usar credenciais diferentes para uma fonte de evento específica, poderá substituir esse valor especificando os parâmetros /un e /up para uma fonte de evento específica na linha de comando de outro comando set-subscription.

/cup: PASSWORD

Um valor que define a senha do usuário para as credenciais de usuário compartilhado. Quando PASSWORD é definido como "*" (asterisco), a senha é lida no console. Essa opção só é válida quando o parâmetro /cun é especificado.

Excluir uma assinatura

A sintaxe a seguir é usada para excluir uma assinatura de evento.

wecutil { ds | delete-subscription } SUBSCRIPTION_ID

Parâmetros de exclusão

SUBSCRIPTION_ID

Uma cadeia de caracteres que identifica exclusivamente uma assinatura. Esse identificador é especificado no elemento SubscriptionId no arquivo de configuração XML usado para criar a assinatura. A assinatura identificada nesse parâmetro será excluída.

Repetir uma assinatura

A sintaxe a seguir é usada para repetir uma assinatura inativa tentando reativar todas as fontes de evento especificadas ou estabelecendo uma conexão com cada fonte de evento e enviando uma solicitação de assinatura remota para a origem do evento. As fontes de evento desabilitadas não são repetidas.

wecutil { rs | retry-subscription } SUBSCRIPTION_ID 
[EVENT_SOURCE [EVENT_SOURCE] ...]

Parâmetros de repetição

SUBSCRIPTION_ID

Uma cadeia de caracteres que identifica exclusivamente uma assinatura. Esse identificador é especificado no elemento SubscriptionId no arquivo de configuração XML usado para criar a assinatura. A assinatura identificada nesse parâmetro será repetida.

EVENT_SOURCE

Um valor que identifica um computador que é uma fonte de evento para uma assinatura de evento. Esse valor pode ser o nome de domínio totalmente qualificado para o computador, o nome NetBIOS ou o endereço IP.

Configurar o Serviço coletor de eventos do Windows

A sintaxe a seguir é usada para configurar o serviço Coletor de Eventos do Windows para garantir que as assinaturas de evento possam ser criadas e mantidas por meio de reinicializações do computador. Isso inclui o seguinte procedimento:

Para configurar o serviço Coletor de Eventos do Windows

  1. Habilite o canal ForwardedEvents se ele estiver desabilitado.
  2. Atrase o início do serviço Coletor de Eventos do Windows.
  3. Inicie o serviço Coletor de Eventos do Windows se ele não estiver em execução.
wecutil { qc | quick-config } /q:VALUE

Configurar parâmetros do coletor de eventos

/q: VALOR

Um valor que determina se o comando de configuração rápida solicitará confirmação. VALUE pode ser true ou false. Se VALUE for true, o comando solicitará a confirmação. O valor padrão é false.

Requisitos

Requisito Valor
Cliente mínimo com suporte
Windows Vista
Servidor mínimo com suporte
Windows Server 2008