wecutil
Позволяет создавать подписки на события, перенаправленные с удаленных компьютеров и управлять ими. Удаленный компьютер должен поддерживать протокол WS-Management.
Внимание
При получении сообщения "Сервер RPC недоступен? При попытке запустить wecutil необходимо запустить службу сборщика событий Windows (wecsvc). Чтобы запустить wecsvc, в командной net start wecsvcстроке с повышенными привилегиями.
Синтаксис
wecutil [{es | enum-subscription}] [{gs | get-subscription} <Subid> [/f:<Format>] [/uni:<Unicode>]] [{gr | get-subscriptionruntimestatus} <Subid> [<Eventsource> …]] [{ss | set-subscription} [<Subid> [/e:[<Subenabled>]] [/esa:<Address>] [/ese:[<Srcenabled>]] [/aes] [/res] [/un:<Username>] [/up:<Password>] [/d:<Desc>] [/uri:<Uri>] [/cm:<Configmode>] [/ex:<Expires>] [/q:<Query>] [/dia:<Dialect>] [/tn:<Transportname>] [/tp:<Transportport>] [/dm:<Deliverymode>] [/dmi:<Deliverymax>] [/dmlt:<Deliverytime>] [/hi:<Heartbeat>] [/cf:<Content>] [/l:<Locale>] [/ree:[<Readexist>]] [/lf:<Logfile>] [/pn:<Publishername>] [/essp:<Enableport>] [/hn:<Hostname>] [/ct:<Type>]] [/c:<Configfile> [/cun:<Username> /cup:<Password>]]] [{cs | create-subscription} <Configfile> [/cun:<Username> /cup:<Password>]] [{ds | delete-subscription} <Subid>] [{rs | retry-subscription} <Subid> [<Eventsource>…]] [{qc | quick-config} [/q:[<quiet>]]]
Параметры
| Параметр | Описание |
|---|---|
{es | enum-subscription} |
Отображает имена всех существующих подписок на удаленные события. |
{gs | get-subscription} <Subid> [/f:<Format>] [/uni:<Unicode>] |
Отображает сведения о конфигурации удаленной подписки. <Subid> — это строка, которая однозначно идентифицирует подписку. Это та же строка, которая была указана в <SubscriptionId> теге XML-файла конфигурации, который использовался для создания подписки. |
{gr | get-subscriptionruntimestatus} <Subid> [<Eventsource> …] |
Отображает состояние среды выполнения подписки. <Subid> — это строка, которая однозначно идентифицирует подписку. Это та же строка, которая была указана в <SubscriptionId> теге XML-файла конфигурации, который использовался для создания подписки. <Eventsource> — это строка, идентифицирующая компьютер, который служит источником событий. Это должно быть полное доменное имя, имя NetBIOS или IP-адрес. |
{ss | set-subscription} <Subid> [/e:[<Subenabled>]] [/esa:<Address>] [/ese:[<Srcenabled>]] [/aes] [/res] [/un:<Username>] [/up:<Password>] [/d:<Desc>] [/uri:<Uri>] [/cm:<Configmode>] [/ex:<Expires>] [/q:<Query>] [/dia:<Dialect>] [/tn:<Transportname>] [/tp:<Transportport>] [/dm:<Deliverymode>] [/dmi:<Deliverymax>] [/dmlt:<Deliverytime>] [/hi:<Heartbeat>] [/cf:<Content>] [/l:<Locale>] [/ree:[<Readexist>]] [/lf:<Logfile>] [/pn:<Publishername>] [/essp:<Enableport>] [/hn:<Hostname>] [/ct:<Type>] ИЛИ {ss | set-subscription /c:<Configfile> [/cun:<Comusername> /cup:<Compassword>] |
Изменяет конфигурацию подписки. Можно указать идентификатор подписки и соответствующие параметры для изменения параметров подписки или указать XML-файл конфигурации для изменения параметров подписки. |
{cs | create-subscription} <Configfile> [/cun:<Username> /cup:<Password>] |
Создает удаленную подписку. <Configfile> указывает путь к XML-файлу, содержаму конфигурацию подписки. Путь может быть абсолютным или относительным к текущему каталогу. |
{ds | delete-subscription} <Subid> |
Удаляет подписку и отменяет подписку из всех источников событий, которые доставляют события в журнал событий для подписки. Все события, уже полученные и зарегистрированные, не удаляются. <Subid> — это строка, которая однозначно идентифицирует подписку. Это та же строка, которая была указана в <SubscriptionId> теге XML-файла конфигурации, который использовался для создания подписки. |
{rs | retry-subscription} <Subid> [<Eventsource>…] |
Повторите попытку установить подключение и отправить запрос удаленной подписки в неактивную подписку. Пытается повторно активировать все источники событий или указанные источники событий. Отключенные источники не извлекаются. <Subid> — это строка, которая однозначно идентифицирует подписку. Это та же строка, которая была указана в <SubscriptionId> теге XML-файла конфигурации, который использовался для создания подписки. <Eventsource> — это строка, идентифицирующая компьютер, который служит источником событий. Это должно быть полное доменное имя, имя NetBIOS или IP-адрес. |
{qc | quick-config} [/q:[<Quiet>]] |
Настраивает службу сборщика событий Windows, чтобы гарантировать, что подписка может быть создана и поддерживаться с помощью перезагрузки. Сюда входят следующие действия.
|
Параметры
| Оператор сравнения | Описание |
|---|---|
/F:<Format> |
Задает формат отображаемых сведений. <Format> может быть XML или Terse. Если это XML, выходные данные отображаются в формате XML. Если это Terse, выходные данные отображаются в парах "имя-значение". Значение по умолчанию — Terse. |
/C:<Configfile> |
Указывает путь к XML-файлу, который содержит конфигурацию подписки. Путь может быть абсолютным или относительным к текущему каталогу. Этот параметр можно использовать только с параметрами /cun и /cup и взаимоисключающими со всеми другими параметрами. |
/e:[<Subenabled>] |
Включает или отключает подписку. <Subenabled> может иметь значение true или false. Значение по умолчанию этого параметра имеет значение true. |
/Esa:<Address> |
Указывает адрес источника событий. <Address> — это строка, содержащая полное доменное имя, имя NetBIOS или IP-адрес, который определяет компьютер, который служит источником событий. Этот параметр следует использовать с параметрами /ese, /aes, /res или /un и /up. |
/ese:[<Srcenabled>] |
Включает или отключает источник событий. <Srcenabled> может иметь значение true или false. Этот параметр допускается только в том случае, если указан параметр /esa . Значение по умолчанию этого параметра имеет значение true. |
| /Aes | Добавляет источник событий, указанный параметром /esa , если он еще не является частью подписки. Если адрес, указанный параметром /esa , уже является частью подписки, сообщается об ошибке. Этот параметр разрешен только в том случае, если указан параметр /esa . |
| /Res | Удаляет источник событий, указанный параметром /esa , если он уже является частью подписки. Если адрес, указанный параметром /esa , не является частью подписки, сообщается об ошибке. Этот параметр разрешен только в том случае, если указан параметр /esa . |
/Оон:<Username> |
Указывает учетные данные пользователя, используемые с источником событий, указанным параметром /esa . Этот параметр разрешен только в том случае, если указан параметр /esa . |
/up:<Password> |
Указывает пароль, соответствующий учетным данным пользователя. Этот параметр разрешен только в том случае, если указан параметр /un . |
/D:<Desc> |
Содержит описание подписки. |
/Uri:<Uri> |
Указывает тип событий, используемых подпиской. <Uri> содержит строку URI, которая объединяется с адресом исходного компьютера события, чтобы однозначно определить источник событий. Строка URI используется для всех адресов источника событий в подписке. |
/См:<Configmode> |
Задает режим конфигурации. <Configmode>может быть одной из следующих строк: Normal, Custom, MinLatency или MinBandwidth. Режимы доставки "Обычный", "MinLatency" и "MinBandwidth" задают режим доставки, максимальное количество элементов доставки, интервал пульса и максимальное время задержки доставки. Параметры /dm, /dmi, /hi или /dmlt могут быть указаны только в том случае, если для режима конфигурации задано значение Custom. |
/Бывший:<Expires> |
Задает время истечения срока действия подписки. <Expires> должен быть определен в стандартном формате XML или ISO8601 формате даты и времени: yyyy-MM-ddThh:mm:ss[.sss][Z]где T — разделитель времени, а Z — время UTC. |
/Q:<Query> |
Указывает строку запроса для подписки. Формат <Query> может отличаться для разных значений URI и применяется ко всем источникам в подписке. |
/Диаметр:<Dialect> |
Определяет диалект, который использует строка запроса. |
/Tn:<Transportname> |
Указывает имя транспорта, используемого для подключения к удаленному источнику событий. |
/Tp:<Transportport> |
Задает номер порта, используемый транспортом при подключении к удаленному источнику событий. |
/Dm:<Deliverymode> |
Задает режим доставки. <Deliverymode> может быть вытягивание или отправка. Этот параметр действителен только в том случае, если для параметра /cm задано значение Custom. |
/Dmi:<Deliverymax> |
Задает максимальное количество элементов для пакетной доставки. Этот параметр действителен только в том случае, если для параметра /cm задано значение Custom. |
/dmlt:<Deliverytime> |
Задает максимальную задержку при доставке пакета событий. <Deliverytime> — это число миллисекунда. Этот параметр действителен только в том случае, если для параметра /cm задано значение Custom. |
/Привет:<Heartbeat> |
Определяет интервал пульса. <Heartbeat> — это число миллисекунда. Этот параметр действителен только в том случае, если для параметра /cm задано значение Custom. |
/Cf:<Content> |
Задает формат возвращаемых событий. <Content> может быть События или RenderedText. При значении RenderedText события возвращаются с локализованными строками (например, описанием события), присоединенными к событию. Значение по умолчанию — RenderedText. |
/l:<Locale> |
Указывает языковой стандарт для доставки локализованных строк в формате RenderedText. <Locale> — это идентификатор языка и страны или региона, например EN-us. Этот параметр действителен только в том случае, если для параметра /cf задано значение RenderedText. |
/ree:[<Readexist>] |
Определяет события, доставленные для подписки. <Readexist> может быть true или false. <Readexist> Если задано значение true, все существующие события считываются из источников событий подписки. <Readexist> Если значение равно false, доставляются только будущие (поступающие) события. Значение по умолчанию имеет значение true для параметра /ree без значения. Если параметр /ree не указан, значение по умолчанию равно false. |
/Если:<Logfile> |
Указывает локальный журнал событий, используемый для хранения событий, полученных из источников событий. |
/Pn:<Publishername> |
Указывает имя издателя. Это должен быть издатель, который владеет или импортирует журнал, указанный параметром /lf . |
/essp:<Enableport> |
Указывает, что номер порта должен быть добавлен к имени субъекта-службы удаленной службы. <Enableport> может иметь значение true или false. Номер порта добавляется при <Enableport> значении true. При добавлении номера порта может потребоваться некоторая конфигурация, чтобы запретить доступ к источникам событий. |
/Hn:<Hostname> |
Указывает DNS-имя локального компьютера. Это имя используется удаленным источником событий для отправки событий и должно использоваться только для принудительной подписки. |
/Ct:<Type> |
Задает тип учетных данных для удаленного доступа к источнику. <Type>должно быть одним из следующих значений: по умолчанию, согласование, дайджест, базовый или localmachine. Значение по умолчанию — значение по умолчанию. |
/Cun:<Comusername> |
Задает учетные данные общего пользователя, которые будут использоваться для источников событий, которые не имеют собственных учетных данных пользователя. Если этот параметр указан с параметром /c , параметры UserName и UserPassword для отдельных источников событий из файла конфигурации игнорируются. Если вы хотите использовать другие учетные данные для определенного источника событий, необходимо переопределить это значение, указав параметры /un и /up для определенного источника событий в командной строке другой команды ss . |
/Кубок:<Compassword> |
Задает пароль пользователя для учетных данных общего пользователя. Если <Compassword> задано значение * (звездочка), пароль считывается из консоли. Этот параметр действителен только при указании параметра /cun . |
/q:[<Quiet>] |
Указывает, запрашивает ли процедура конфигурации подтверждение. <Quiet> может иметь значение true или false. Если <Quiet> задано значение true, процедура настройки не запрашивает подтверждение. Значение по умолчанию этого параметра равно false. |
Примеры
Чтобы отобразить содержимое файла конфигурации, введите следующее:
<Subscription xmlns=https://schemas.microsoft.com/2006/03/windows/events/subscription>
<Uri>https://schemas.microsoft.com/wbem/wsman/1/windows/EventLog</Uri>
<!-- Use Normal (default), Custom, MinLatency, MinBandwidth -->
<ConfigurationMode>Normal</ConfigurationMode>
<Description>Forward Sample Subscription</Description>
<SubscriptionId>SampleSubscription</SubscriptionId>
<Query><![CDATA[
<QueryList>
<Query Path=Application>
<Select>*</Select>
</Query>
</QueryList>]]
</Query>
<EventSources>
<EventSource Enabled=true>
<Address>mySource.myDomain.com</Address>
<UserName>myUserName</UserName>
<Password>*</Password>
</EventSource>
</EventSources>
<CredentialsType>Default</CredentialsType>
<Locale Language=EN-US></Locale>
</Subscription>
Чтобы просмотреть сведения о выходной конфигурации для подписки с именем sub1, введите следующее:
wecutil gs sub1
Пример результата:
EventSource[0]:
Address: localhost
Enabled: true
Description: Subscription 1
Uri: wsman:microsoft/logrecord/sel
DeliveryMode: pull
DeliveryMaxSize: 16000
DeliveryMaxItems: 15
DeliveryMaxLatencyTime: 1000
HeartbeatInterval: 10000
Locale:
ContentFormat: renderedtext
LogFile: HardwareEvents
Чтобы отобразить состояние среды выполнения подписки с именем sub1, введите:
wecutil gr sub1
Чтобы обновить конфигурацию подписки с именем sub1 из нового XML-файла с именем WsSelRg2.xml, введите:
wecutil ss sub1 /c:%Windir%system32WsSelRg2.xml
Чтобы обновить конфигурацию подписки с именем sub2 с несколькими параметрами, введите:
wecutil ss sub2 /esa:myComputer /ese /un:uname /up:* /cm:Normal
Чтобы удалить подписку с именем sub1, введите:
wecutil ds sub1