Wecutil.exe
Wecutil.exe é um utilitário coletor de eventos do Windows que permite que um administrador crie e gerencie assinaturas para eventos encaminhados de fontes de eventos remotos que dão suporte ao protocolo WS-Management. Comandos, opções e valores de opção não diferenciam maiúsculas de minúsculas para esse utilitário.
Se você receber uma mensagem informando "O servidor RPC está indisponível" ou "A interface é desconhecida" ao tentar executar o wecutil, será necessário iniciar o serviço Coletor de Eventos do Windows (wecsvc). Para iniciar o wecsvc, em um prompt de comando com privilégios elevados, digite net start wecsvc.
Listar assinaturas existentes
A sintaxe a seguir é usada para listar assinaturas de eventos remotos existentes.
wecutil { es | enum-subscription }
Se você usar um script para obter os nomes das assinaturas da saída, precisará ignorar os caracteres BOM UTF-8 na primeira linha da saída. O script a seguir mostra um exemplo de como você pode ignorar os caracteres BOM.
setlocal enabledelayedexpansion
set bomskipped=
for /f %%i in ('wecutil es') do (
set sub=%%i
if not defined bomskipped (
set sub=!sub:~3!
set bomskipped=yes
)
echo !sub!
)
goto :eof
endlocal
Obter configuração de assinatura
A sintaxe a seguir é usada para exibir dados de configuração de assinatura de evento remoto.
wecutil { gs | get-subscription } SUBSCRIPTION_ID [/f:VALUE
[/u:VALUE] ...]
Obter parâmetros de configuração
-
SUBSCRIPTION_ID
-
Uma cadeia de caracteres que identifica exclusivamente uma assinatura. Esse identificador é especificado no elemento SubscriptionId no arquivo de configuração XML usado para criar a assinatura.
-
/f:VALUE
-
Um valor que especifica a saída dos dados de configuração da assinatura. VALUE pode ser "XML" ou "Terse" e o padrão é "Terse". Se VALUE for "XML", a saída será impressa no formato "XML". Se VALUE for "Terse", a saída será impressa em pares nome-valor.
-
/u: VALUE
-
Um valor que especifica se a saída está no formato Unicode. VALUE pode ser "true" ou "false". Se VALUE for "true", a saída estará no formato Unicode e, se VALUE for "false", a saída não estará no formato Unicode.
Obter status de runtime de assinatura
A sintaxe a seguir é usada para exibir o runtime da assinatura status.
wecutil { gr | get-subscriptionruntimestatus } SUBSCRIPTION_ID
[EVENT_SOURCE [EVENT_SOURCE] ...]
Obter parâmetros de status
-
SUBSCRIPTION_ID
-
Uma cadeia de caracteres que identifica exclusivamente uma assinatura. Esse identificador é especificado no elemento SubscriptionId no arquivo de configuração XML usado para criar a assinatura.
-
EVENT_SOURCE
-
Um valor que identifica um computador que é uma origem de evento para uma assinatura de evento. Esse valor pode ser o nome de domínio totalmente qualificado para o computador, o nome NetBIOS ou o endereço IP.
Definir informações de configuração de assinatura
A sintaxe a seguir é usada para definir dados de configuração de assinatura alterando os parâmetros de assinatura da linha de comando ou usando um arquivo de configuração XML.
wecutil { ss | set_subscription } SUBSCRIPTION_ID [/e:VALUE]
[/esa:EVENT_SOURCE [/ese:VALUE] [/aes] [/res] [/un:USERNAME] [/up:PASSWORD]]
[/d:DESCRIPTION] [/uri:URI] [/cm:CONFIGURATION_MODE] [/ex:DATE_TIME]
[/q:QUERY] [/dia:DIALECT] [/tn:TRANSPORTNAME] [/tp:TRANSPORTPORT] [/dm:MODE]
[/dmi:NUMBER] [/dmlt:MS] [/hi:MS] [/cf:FORMAT] [/l:LOCALE] [/ree:[VALUE]]
[/lf:FILENAME] [/pn:PUBLISHER] [/hn:NAME] [/ct:TYPE]
[/cun:USERNAME] [/cup:PASSWORD]
[/ica:THUMBPRINTS] [/as:ALLOWED] [/ds:DENIED] [/adc:SDDL]
wecutil {ss | set_subscription } /c:CONGIG_FILE [/cun:USERNAME]
[/cup:PASSWORD]
Comentários
Quando um nome de usuário ou senha incorreto é especificado no comando wecutil ss, nenhum erro é relatado até que você exiba o runtime status da assinatura usando o comando wecutil gr.
Definir parâmetros de configuração
-
SUBSCRIPTION_ID
-
Uma cadeia de caracteres que identifica exclusivamente uma assinatura. Esse identificador é especificado no elemento SubscriptionId no arquivo de configuração XML usado para criar a assinatura.
-
/c: CONGIG_FILE
-
Um valor que especifica o caminho para o arquivo XML que contém informações de configuração de assinatura. O caminho pode ser absoluto ou relativo ao diretório atual. Esse parâmetro só pode ser usado com os parâmetros opcionais /cus e /cup e é mutuamente exclusivo com todos os outros parâmetros.
-
/e: VALUE
-
Um valor que determina se a assinatura deve ser habilitada ou desabilitada. VALUE pode ser true ou false. O valor padrão é true, que habilita a assinatura.
Observação
Quando você desabilitar uma assinatura iniciada pelo coletor, a origem do evento ficará inativa em vez de desabilitada. Em uma assinatura iniciada pelo coletor, você pode desabilitar uma fonte de evento independente da assinatura.
-
/d: DESCRIPTION
-
Um valor que especifica uma descrição para a assinatura do evento.
-
/ex: DATE_TIME
-
Um valor que especifica o tempo de expiração da assinatura. DATE_TIME é um valor especificado no formato de data/hora padrão XML ou ISO8601: "aaaa-MM-ddThh:mm:ss[.sss][Z]" em que "T" é o separador de hora e "Z" indica a hora UTC. Por exemplo, se DATE_TIME for "2007-01-12T01:20:00", o tempo de expiração da assinatura será 12 de janeiro de 2007, 01:20.
-
/uri: URI
-
Um valor que especifica o tipo de eventos consumidos pela assinatura. O endereço do computador de origem do evento, juntamente com o URI (uniform resource identifier), identifica exclusivamente a origem dos eventos. A cadeia de caracteres de URI é usada para todos os endereços de origem do evento na assinatura.
-
/cm: CONFIGURATION_MODE
-
Um valor que especifica o modo de configuração da assinatura de evento. CONFIGURATION_MODE pode ser uma das seguintes cadeias de caracteres: "Normal", "Personalizado", "MinLatency" ou "MinBandwidth". A enumeração EC_SUBSCRIPTION_CONFIGURATION_MODE define os modos de configuração. Os parâmetros /dm, /dmi, /hi e /dmlt só poderão ser especificados se o modo de configuração estiver definido como Personalizado.
-
/q: QUERY
-
Um valor que especifica a cadeia de caracteres de consulta para a assinatura. O formato dessa cadeia de caracteres pode ser diferente para valores de URI diferentes e se aplica a todas as fontes de evento na assinatura.
-
/dia: DIALECT
-
Um valor que especifica o dialeto que a cadeia de caracteres de consulta usa.
-
/cf: FORMAT
-
Um valor que especifica o formato dos eventos retornados. FORMAT pode ser "Events" ou "RenderedText". Quando o valor é "RenderedText", os eventos são retornados com as cadeias de caracteres localizadas (como cadeias de caracteres de descrição do evento) anexadas aos eventos. O valor padrão de FORMAT é "RenderedText".
-
/l: LOCALE
-
Um valor que especifica a localidade para entrega das cadeias de caracteres localizadas no formato de texto renderizado. LOCALE é um identificador de cultura de idioma/país, por exemplo, "EN-us". Esse parâmetro só é válido quando o parâmetro /cf é definido como "RenderedText".
-
/ree:[VALUE]
-
Um valor que especifica quais eventos devem ser entregues para a assinatura. VALUE pode ser true ou false. Quando VALUE é true, todos os eventos existentes são lidos das fontes de evento de assinatura. Quando VALUE for false, somente eventos futuros (chegando) serão entregues. O padrão é true quando /ree é especificado sem um valor e o padrão é false se /ree não for especificado.
-
/lf: FILENAME
-
Um valor que especifica o log de eventos local usado para armazenar eventos recebidos da assinatura do evento.
-
/pn: PUBLISHER
-
Um valor que especifica o nome do editor de eventos (provedor). Ele deve ser um publicador que possui ou importa o log especificado pelo parâmetro /lf.
-
/dm: MODE
-
Um valor que especifica o modo de entrega da assinatura. MODE pode ser push ou pull. Essa opção só será válida se o parâmetro /cm estiver definido como Personalizado.
-
/dmi: NUMBER
-
Um valor que especifica o número máximo de itens para entrega em lote na assinatura do evento. Essa opção só será válida se o parâmetro /cm estiver definido como Personalizado.
-
/dmlt: MS
-
Um valor que especifica a latência máxima permitida na entrega de um lote de eventos. MS é o número de milissegundos permitido. Esse parâmetro só será válido se o parâmetro /cm estiver definido como Personalizado.
-
/oi: MS
-
Um valor que especifica o intervalo de pulsação da assinatura. MS é o número de milissegundos usados no intervalo. Esse parâmetro só será válido se o parâmetro /cm estiver definido como Personalizado.
-
/tn: TRANSPORTNAME
-
Um valor que especifica o nome do transporte usado para se conectar ao computador de origem do evento remoto.
-
/esa: EVENT_SOURCE
-
Um valor que especifica o endereço de um computador de origem do evento. EVENT_SOURCE é uma cadeia de caracteres que identifica um computador de origem de evento usando o nome de domínio totalmente qualificado para o computador, nome NetBIOS ou endereço IP. Esse parâmetro pode ser usado com os parâmetros /ese, /aes, /res ou /un e /up.
-
/ese: VALUE
-
Um valor que determina se a origem do evento deve ser habilitada ou desabilitada. VALUE pode ser true ou false. O valor padrão é true, que habilita a origem do evento. Esse parâmetro só será usado se o parâmetro /esa for usado.
-
/Aes
-
Um valor que adiciona a origem do evento especificada pelo parâmetro /esa se a origem do evento ainda não fizer parte da assinatura do evento. Se o computador especificado pelo parâmetro /esa já fizer parte da assinatura, um erro será exibido. Esse parâmetro só será permitido se o parâmetro /esa for usado.
-
/Res
-
Um valor que remove a origem do evento especificada pelo parâmetro /esa se a origem do evento já fizer parte da assinatura do evento. Se o computador especificado pelo parâmetro /esa não fizer parte da assinatura, um erro será exibido. Esse parâmetro só será permitido se o parâmetro /esa for usado.
-
/un: USERNAME
-
Um valor que especifica o nome de usuário usado nas credenciais para se conectar à origem do evento especificada no parâmetro /esa. Esse parâmetro só será permitido se o parâmetro /esa for usado.
-
/up: PASSWORD
-
Um valor que especifica a senha para o nome de usuário especificado no parâmetro /un. As credenciais de nome de usuário e senha são usadas para se conectar à origem do evento especificada no parâmetro /esa. Esse parâmetro só será permitido se o parâmetro /un for usado.
-
/tp: TRANSPORTPORT
-
Um valor que especifica o número da porta usado pelo transporte ao se conectar a um computador de origem de evento remoto.
-
/hn: NAME
-
Um valor que especifica o nome DNS do computador local. Esse nome é usado por fontes de eventos remotos para efetuar push de eventos e deve ser usado apenas para assinaturas push.
-
/ct: TYPE
-
Um valor que especifica o tipo de credencial usado para acessar fontes de eventos remotos. TYPE pode ser "default", "negotiate", "digest", "basic" ou "localmachine". O padrão é "padrão". Esses valores são definidos na enumeração EC_SUBSCRIPTION_CREDENTIALS_TYPE .
-
/cun: USERNAME
-
Um valor que define as credenciais de usuário compartilhadas usadas para fontes de evento que não têm suas próprias credenciais de usuário.
Observação
Se esse parâmetro for usado com a opção /c, as configurações de nome de usuário e senha para fontes de eventos individuais do arquivo de configuração serão ignoradas. Se você quiser usar credenciais diferentes para uma fonte de evento específica, poderá substituir esse valor especificando os parâmetros /un e /up para uma fonte de evento específica na linha de comando de outro comando set-subscription.
-
/cup: PASSWORD
-
Um valor que define a senha do usuário para as credenciais de usuário compartilhado. Quando PASSWORD é definido como * (asterisco), a senha é lida no console. Essa opção só é válida quando o parâmetro /cun é especificado.
-
/ica: THUMBPRINTS
-
Um valor que define a lista de impressões digitais do certificado do emissor, em uma lista separada por vírgulas.
Observação
Essa opção é específica apenas para assinaturas iniciadas pela origem.
-
/as: ALLOWED
-
Um valor que define uma lista separada por vírgulas de cadeia de caracteres que especifica os nomes DNS de computadores que não são de domínio que têm permissão para iniciar assinaturas. Os nomes podem ser especificados usando curingas, como "*.mydomain.com". Por padrão, essa lista está vazia.
Observação
Essa opção é específica apenas para assinaturas iniciadas pela origem.
-
/ds: NEGADO
-
Um valor que define uma lista separada por vírgulas de cadeia de caracteres que especifica os nomes DNS de computadores não domínio que não têm permissão para iniciar assinaturas. Os nomes podem ser especificados usando curingas, como "*.mydomain.com". Por padrão, essa lista está vazia.
Observação
Essa opção é específica apenas para assinaturas iniciadas pela origem.
-
/adc: SDDL
-
Um valor que define uma cadeia de caracteres, no formato SDDL, que especifica quais computadores de domínio têm permissão ou não têm permissão para iniciar assinaturas. O padrão é permitir que todos os computadores de domínio iniciem assinaturas.
Observação
Essa opção é específica apenas para assinaturas iniciadas pela origem.
Criar uma nova assinatura
A sintaxe a seguir é usada para criar uma assinatura de evento para eventos em um computador remoto.
wecutil {cs | create-subscription } CONFIGURATION_FILE [/cun:USERNAME]
[/cup:PASSWORD]
Comentários
Quando um nome de usuário ou senha incorreto é especificado no comando wecutil cs, nenhum erro é relatado até que você exiba o runtime status da assinatura usando o comando wecutil gr.
Parâmetros de criação
-
CONFIGURATION_FILE
-
Um valor que especifica o caminho para o arquivo XML que contém informações de configuração de assinatura. O caminho pode ser absoluto ou relativo ao diretório atual.
O XML a seguir é um exemplo de um arquivo de configuração de assinatura que cria uma assinatura iniciada pelo coletor para encaminhar eventos do log de eventos do aplicativo de um computador remoto para o log ForwardedEvents.
<Subscription xmlns="http://schemas.microsoft.com/2006/03/windows/events/subscription"> <SubscriptionId>SampleCISubscription</SubscriptionId> <SubscriptionType>CollectorInitiated</SubscriptionType> <Description>Collector Initiated Subscription Sample</Description> <Enabled>true</Enabled> <Uri>http://schemas.microsoft.com/wbem/wsman/1/windows/EventLog</Uri> <!-- Use Normal (default), Custom, MinLatency, MinBandwidth --> <ConfigurationMode>Custom</ConfigurationMode> <Delivery Mode="Push"> <Batching> <MaxItems>20</MaxItems> <MaxLatencyTime>60000</MaxLatencyTime> </Batching> <PushSettings> <HostName>thisMachine.myDomain.com</HostName> <Heartbeat Interval="60000"/> </PushSettings> </Delivery> <Expires>2010-01-01T00:00:00.000Z</Expires> <Query> <![CDATA[ <QueryList> <Query Path="Application"> <Select>*</Select> </Query> </QueryList> ]]> </Query> <ReadExistingEvents>false</ReadExistingEvents> <TransportName>http</TransportName> <ContentFormat>RenderedText</ContentFormat> <Locale Language="en-US"/> <LogFile>ForwardedEvents</LogFile> <CredentialsType>Default</CredentialsType> <EventSources> <EventSource Enabled="true"> <Address>mySource.myDomain.com</Address> <UserName>myUserName</UserName> </EventSource> </EventSources> </Subscription>
O XML a seguir é um exemplo de um arquivo de configuração de assinatura que cria uma assinatura iniciada pela origem para encaminhar eventos do log de eventos do aplicativo de um computador remoto para o log ForwardedEvents.
<Subscription xmlns="http://schemas.microsoft.com/2006/03/windows/events/subscription"> <SubscriptionId>SampleSISubscription</SubscriptionId> <SubscriptionType>SourceInitiated</SubscriptionType> <Description>Source Initiated Subscription Sample</Description> <Enabled>true</Enabled> <Uri>http://schemas.microsoft.com/wbem/wsman/1/windows/EventLog</Uri> <!-- Use Normal (default), Custom, MinLatency, MinBandwidth --> <ConfigurationMode>Custom</ConfigurationMode> <Delivery Mode="Push"> <Batching> <MaxItems>1</MaxItems> <MaxLatencyTime>1000</MaxLatencyTime> </Batching> <PushSettings> <Heartbeat Interval="60000"/> </PushSettings> </Delivery> <Expires>2018-01-01T00:00:00.000Z</Expires> <Query> <![CDATA[ <QueryList> <Query Path="Application"> <Select>Event[System/EventID='999']</Select> </Query> </QueryList> ]]> </Query> <ReadExistingEvents>true</ReadExistingEvents> <TransportName>http</TransportName> <ContentFormat>RenderedText</ContentFormat> <Locale Language="en-US"/> <LogFile>ForwardedEvents</LogFile> <AllowedSourceNonDomainComputers></AllowedSourceNonDomainComputers> <AllowedSourceDomainComputers>O:NSG:NSD:(A;;GA;;;DC)(A;;GA;;;NS)</AllowedSourceDomainComputers> </Subscription>
Observação
Ao criar uma assinatura iniciada pela fonte, se AllowedSourceDomainComputers, AllowedSourceNonDomainComputers/IssuerCAList, AllowedSubjectList e DeniedSubjectList estiverem vazios, um padrão será fornecido para AllowedSourceDomainComputers - "O:NSG:NSD:(A;; GA;;;D C)(A;; GA;;; NS)". Esse padrão SDDL concede aos membros do grupo de domínio Computadores de Domínio, bem como ao grupo de Serviços de Rede local (para o encaminhador local), a capacidade de gerar eventos para essa assinatura.
-
/cun: USERNAME
-
Um valor que define as credenciais de usuário compartilhadas usadas para fontes de evento que não têm suas próprias credenciais de usuário. Esse valor se aplica somente a assinaturas iniciadas pelo coletor.
Observação
Se esse parâmetro for especificado, as configurações de nome de usuário e senha para fontes de eventos individuais do arquivo de configuração serão ignoradas. Se você quiser usar credenciais diferentes para uma fonte de evento específica, poderá substituir esse valor especificando os parâmetros /un e /up para uma fonte de evento específica na linha de comando de outro comando set-subscription.
-
/cup: PASSWORD
-
Um valor que define a senha do usuário para as credenciais de usuário compartilhado. Quando PASSWORD é definido como "*" (asterisco), a senha é lida no console. Essa opção só é válida quando o parâmetro /cun é especificado.
Excluir uma assinatura
A sintaxe a seguir é usada para excluir uma assinatura de evento.
wecutil { ds | delete-subscription } SUBSCRIPTION_ID
Parâmetros de exclusão
-
SUBSCRIPTION_ID
-
Uma cadeia de caracteres que identifica exclusivamente uma assinatura. Esse identificador é especificado no elemento SubscriptionId no arquivo de configuração XML usado para criar a assinatura. A assinatura identificada nesse parâmetro será excluída.
Repetir uma assinatura
A sintaxe a seguir é usada para repetir uma assinatura inativa tentando reativar todas as fontes de evento especificadas ou estabelecendo uma conexão com cada fonte de evento e enviando uma solicitação de assinatura remota para a origem do evento. As fontes de evento desabilitadas não são repetidas.
wecutil { rs | retry-subscription } SUBSCRIPTION_ID
[EVENT_SOURCE [EVENT_SOURCE] ...]
Parâmetros de repetição
-
SUBSCRIPTION_ID
-
Uma cadeia de caracteres que identifica exclusivamente uma assinatura. Esse identificador é especificado no elemento SubscriptionId no arquivo de configuração XML usado para criar a assinatura. A assinatura identificada nesse parâmetro será repetida.
-
EVENT_SOURCE
-
Um valor que identifica um computador que é uma fonte de evento para uma assinatura de evento. Esse valor pode ser o nome de domínio totalmente qualificado para o computador, o nome NetBIOS ou o endereço IP.
Configurar o Serviço coletor de eventos do Windows
A sintaxe a seguir é usada para configurar o serviço Coletor de Eventos do Windows para garantir que as assinaturas de evento possam ser criadas e mantidas por meio de reinicializações do computador. Isso inclui o seguinte procedimento:
Para configurar o serviço Coletor de Eventos do Windows
- Habilite o canal ForwardedEvents se ele estiver desabilitado.
- Atrase o início do serviço Coletor de Eventos do Windows.
- Inicie o serviço Coletor de Eventos do Windows se ele não estiver em execução.
wecutil { qc | quick-config } /q:VALUE
Configurar parâmetros do coletor de eventos
-
/q: VALOR
-
Um valor que determina se o comando de configuração rápida solicitará confirmação. VALUE pode ser true ou false. Se VALUE for true, o comando solicitará a confirmação. O valor padrão é false.
Requisitos
Requisito | Valor |
---|---|
Cliente mínimo com suporte |
Windows Vista |
Servidor mínimo com suporte |
Windows Server 2008 |