Wecutil.exe
Wecutil.exe是 Windows 事件收集器公用程式,可讓系統管理員建立和管理從支援WS-Management通訊協定之遠端事件來源轉送之事件的訂用帳戶。 這個公用程式的命令、選項和選項值不區分大小寫。
如果您收到訊息指出「RPC 伺服器無法使用」或「介面不明」,當您嘗試執行 wecutil 時,您需要啟動 Windows 事件收集器服務 (wecsvc) 。 若要啟動 wecsvc,請在提升許可權的命令提示字元中輸入 net start wecsvc。
列出現有的訂用帳戶
下列語法可用來列出現有的遠端事件訂閱。
wecutil { es | enum-subscription }
如果您使用腳本從輸出取得訂用帳戶的名稱,則必須略過輸出第一行中的 UTF-8 BOM 字元。 下列腳本示範如何略過 BOM 字元的範例。
setlocal enabledelayedexpansion
set bomskipped=
for /f %%i in ('wecutil es') do (
set sub=%%i
if not defined bomskipped (
set sub=!sub:~3!
set bomskipped=yes
)
echo !sub!
)
goto :eof
endlocal
取得訂用帳戶設定
下列語法可用來顯示遠端事件訂用帳戶組態資料。
wecutil { gs | get-subscription } SUBSCRIPTION_ID [/f:VALUE
[/u:VALUE] ...]
取得設定參數
-
SUBSCRIPTION_ID
-
可唯一識別訂閱的字串。 這個識別碼是在用來建立訂閱的 XML 組態檔中的 SubscriptionId 元素中指定。
-
/f:VALUE
-
值,指定訂閱組態資料的輸出。 VALUE 可以是 「XML」 或 「Terse」,預設值為 「Terse」。 如果 VALUE 是 「XML」,則輸出會以 「XML」 格式列印。 如果 VALUE 是 「Terse」,則輸出會列印在名稱/值組中。
-
/u: VALUE
-
值,指定輸出是否為 Unicode 格式。 VALUE 可以是 「true」 或 「false」。 如果 VALUE 為 「true」,則輸出為 Unicode 格式,如果 VALUE 為 「false」,則輸出不是 Unicode 格式。
取得訂用帳戶執行時間狀態
下列語法可用來顯示訂用帳戶執行時間狀態。
wecutil { gr | get-subscriptionruntimestatus } SUBSCRIPTION_ID
[EVENT_SOURCE [EVENT_SOURCE] ...]
取得狀態參數
-
SUBSCRIPTION_ID
-
可唯一識別訂閱的字串。 這個識別碼是在用來建立訂閱的 XML 組態檔中的 SubscriptionId 元素中指定。
-
EVENT_SOURCE
-
值,識別事件訂閱之事件來源的電腦。 此值可以是電腦、NetBIOS 名稱或 IP 位址的完整功能變數名稱。
設定訂用帳戶組態資訊
下列語法可用來從命令列或使用 XML 組態檔變更訂用帳戶參數來設定訂用帳戶組態資料。
wecutil { ss | set_subscription } SUBSCRIPTION_ID [/e:VALUE]
[/esa:EVENT_SOURCE [/ese:VALUE] [/aes] [/res] [/un:USERNAME] [/up:PASSWORD]]
[/d:DESCRIPTION] [/uri:URI] [/cm:CONFIGURATION_MODE] [/ex:DATE_TIME]
[/q:QUERY] [/dia:DIALECT] [/tn:TRANSPORTNAME] [/tp:TRANSPORTPORT] [/dm:MODE]
[/dmi:NUMBER] [/dmlt:MS] [/hi:MS] [/cf:FORMAT] [/l:LOCALE] [/ree:[VALUE]]
[/lf:FILENAME] [/pn:PUBLISHER] [/hn:NAME] [/ct:TYPE]
[/cun:USERNAME] [/cup:PASSWORD]
[/ica:THUMBPRINTS] [/as:ALLOWED] [/ds:DENIED] [/adc:SDDL]
wecutil {ss | set_subscription } /c:CONGIG_FILE [/cun:USERNAME]
[/cup:PASSWORD]
備註
在 wecutil ss 命令中指定不正確的使用者名稱或密碼時,除非您使用 wecutil gr 命令檢視訂用帳戶的執行時間狀態,否則不會回報任何錯誤。
設定組態參數
-
SUBSCRIPTION_ID
-
可唯一識別訂閱的字串。 這個識別碼是在用來建立訂閱的 XML 組態檔中的 SubscriptionId 元素中指定。
-
/c: CONGIG_FILE
-
值,指定包含訂用帳戶組態資訊的 XML 檔案路徑。 路徑可以是絕對或相對於目前目錄。 此參數只能與選擇性 /cus 和 /cup 參數搭配使用,而且與其他所有參數互斥。
-
/e: VALUE
-
值,決定要啟用或停用訂用帳戶。 VALUE 可以是 true 或 false。 預設值為 true,這會啟用訂用帳戶。
注意
當您停用收集器起始的訂用帳戶時,事件來源會變成非作用中,而不是停用。 在收集器起始的訂用帳戶中,您可以停用與訂用帳戶無關的事件來源。
-
/d: DESCRIPTION
-
值,指定事件訂閱的描述。
-
/ex: DATE_TIME
-
值,指定訂閱到期時間。 DATE_TIME 是以標準 XML 或 ISO8601 日期時間格式指定的值:「yyyy-MM-ddThh:mm:ss[.sss][Z]」,其中 「T」 是時間分隔符號,而 「Z」 表示 UTC 時間。 例如,如果 DATE_TIME 是 「2007-01-12T01:20:00」,則訂閱到期時間是 2007 年 1 月 12 日,01:20。
-
/uri: URI
-
值,指定訂用帳戶所耗用的事件種類。 事件來源電腦的位址以及統一資源識別項 (URI) 可唯一識別事件的來源。 URI 字串會用於訂用帳戶中的所有事件來源位址。
-
/cm: CONFIGURATION_MODE
-
值,指定事件訂閱的組態模式。 CONFIGURATION_MODE 可以是下列其中一個字串:「Normal」、「Custom」、「MinLatency」 或 「MinBandwidth」。 EC_SUBSCRIPTION_CONFIGURATION_MODE列舉會定義設定模式。 只有在設定模式設定為 [自訂] 時,才能指定 /dm、/dmi、/hi 和 /dmlt 參數。
-
/q: QUERY
-
值,指定訂閱的查詢字串。 此字串的格式可以針對不同的 URI 值而有所不同,並套用至訂用帳戶中的所有事件來源。
-
/dia: DIALECT
-
值,指定查詢字串所使用的方言。
-
/cf: FORMAT
-
值,指定傳回事件的格式。 FORMAT 可以是 「Events」 或 「RenderedText」。 當值為 「RenderedText」 時,事件會以當地語系化字串傳回 (,例如附加至事件的事件描述字串) 。 FORMAT的預設值為 「RenderedText」。
-
/l: LOCALE
-
值,指定以轉譯文字格式傳遞當地語系化字串的地區設定。 LOCALE 是語言/國家/地區文化特性識別碼,例如「EN-us」。 只有當 /cf 參數設定為 「RenderedText」 時,此參數才有效。
-
/ree:[VALUE]
-
值,指定要傳遞給訂用帳戶的事件。 VALUE 可以是 true 或 false。 當 VALUE 為 true 時,所有現有的事件都會從訂用帳戶事件來源讀取。 當 VALUE 為 false 時,只會傳遞未來 (抵達) 事件。 如果未指定 /ree 值,則預設值為 true,如果未指定 /ree,則預設值為 false。
-
/lf: FILENAME
-
值,指定用來儲存從事件訂用帳戶接收之事件的本機事件記錄檔。
-
/pn: PUBLISHER
-
值,指定事件發行者 (提供者) 名稱。 它必須是擁有或匯入 /lf 參數所指定的記錄檔的發行者。
-
/dm: MODE
-
值,指定訂閱傳遞模式。 MODE 可以是推送或提取。 只有在 /cm 參數設定為 [自訂] 時,此選項才有效。
-
/dmi: NUMBER
-
值,指定事件訂閱中批次傳遞的專案數目上限。 只有在 /cm 參數設定為 [自訂] 時,此選項才有效。
-
/dmlt: MS
-
值,指定傳遞事件批次時允許的最大延遲。 MS 是允許的毫秒數。 只有當 /cm 參數設定為 Custom 時,此參數才有效。
-
/hi: MS
-
值,指定訂用帳戶的活動訊號間隔。 MS 是間隔中使用的毫秒數。 只有當 /cm 參數設定為 Custom 時,此參數才有效。
-
/tn: TRANSPORTNAME
-
值,指定用來連接到遠端事件來源電腦的傳輸名稱。
-
/esa: EVENT_SOURCE
-
值,指定事件來源電腦的位址。 EVENT_SOURCE 是一個字串,會使用電腦、NetBIOS 名稱或 IP 位址的完整功能變數名稱來識別事件來源電腦。 此參數可以搭配 /ese、/aes、/res 或 /un 和 /up 參數使用。
-
/ese: VALUE
-
值,決定要啟用或停用事件來源。 VALUE 可以是 true 或 false。 預設值為 true,這會啟用事件來源。 只有在使用 /esa 參數時,才會使用此參數。
-
/Aes
-
值,如果事件來源尚未加入事件訂閱的一部分,則為 /esa 參數所指定的事件來源。 如果 /esa 參數指定的電腦已經是訂用帳戶的一部分,則會顯示錯誤。 只有在使用 /esa 參數時,才允許此參數。
-
/res
-
值,如果事件來源已經是事件訂閱的一部分,則會移除 /esa 參數所指定的事件來源。 如果 /esa 參數指定的電腦不是訂用帳戶的一部分,則會顯示錯誤。 只有在使用 /esa 參數時,才允許此參數。
-
/un: USERNAME
-
值,指定認證中使用的使用者名稱,以連接到 /esa 參數中指定的事件來源。 只有在使用 /esa 參數時,才允許此參數。
-
/up: PASSWORD
-
值,指定 /un 參數中指定的使用者名稱密碼。 使用者名稱和密碼認證可用來連接到 /esa 參數中指定的事件來源。 只有在使用 /un 參數時,才允許此參數。
-
/tp: TRANSPORTPORT
-
值,指定連接到遠端事件來源電腦時傳輸所使用的埠號碼。
-
/hn: NAME
-
值,指定本機電腦的 DNS 名稱。 遠端事件來源會使用此名稱來推送事件,而且只能用於發送訂閱。
-
/ct: TYPE
-
值,指定用來存取遠端事件來源的認證類型。 TYPE 可以是 「default」、「negotiate」、「digest」、「basic」 或 「localmachine」。 預設值為 「default」。 這些值定義于 EC_SUBSCRIPTION_CREDENTIALS_TYPE 列舉中。
-
/cun: USERNAME
-
值,設定用於沒有自己使用者認證之事件來源的共用使用者認證。
注意
如果此參數與 /c 選項搭配使用,則會忽略組態檔中個別事件來源的使用者名稱和密碼設定。 如果您想要針對特定事件來源使用不同的認證,您可以在另一個 set-subscription 命令的命令列上指定特定事件來源的 /un 和 /up 參數,以覆寫此值。
-
/cup: PASSWORD
-
值,設定共用使用者認證的使用者密碼。 當 PASSWORD 設定為 * (星號) 時,則會從主控台讀取密碼。 只有在指定 /cun 參數時,此選項才有效。
-
/ica: THUMBPRINTS
-
值,會在逗號分隔清單中設定簽發者憑證指紋的清單。
注意
此選項僅適用于來源起始的訂用帳戶。
-
/as: ALLOWED
-
值,設定字串的逗號分隔清單,指定允許起始訂閱之非網域電腦的 DNS 名稱。 您可以使用萬用字元來指定名稱,例如 「*.mydomain.com」。 根據預設,此清單是空的。
注意
此選項僅適用于來源起始的訂用帳戶。
-
/ds: 拒絕
-
值,設定字串的逗號分隔清單,指定不允許起始訂閱之非網域電腦的 DNS 名稱。 您可以使用萬用字元來指定名稱,例如 「*.mydomain.com」。 根據預設,此清單是空的。
注意
此選項僅適用于來源起始的訂用帳戶。
-
/adc: SDDL
-
值,以 SDDL 格式設定字串,指定允許或不允許起始訂用帳戶的網域電腦。 預設值是允許所有網域電腦起始訂用帳戶。
注意
此選項僅適用于來源起始的訂用帳戶。
建立新的訂閱
下列語法可用來為遠端電腦上的事件建立事件訂閱。
wecutil {cs | create-subscription } CONFIGURATION_FILE [/cun:USERNAME]
[/cup:PASSWORD]
備註
在 wecutil cs 命令中指定不正確的使用者名稱或密碼時,除非您使用 wecutil gr 命令檢視訂用帳戶的執行時間狀態,否則不會回報任何錯誤。
建立參數
-
CONFIGURATION_FILE
-
值,指定包含訂用帳戶組態資訊的 XML 檔案路徑。 路徑可以是絕對或相對於目前目錄。
下列 XML 是訂用帳戶組態檔的範例,該設定檔會建立收集器起始的訂閱,以將遠端電腦的應用程式事件記錄檔的事件轉送至 ForwardedEvents 記錄檔。
<Subscription xmlns="http://schemas.microsoft.com/2006/03/windows/events/subscription"> <SubscriptionId>SampleCISubscription</SubscriptionId> <SubscriptionType>CollectorInitiated</SubscriptionType> <Description>Collector Initiated Subscription Sample</Description> <Enabled>true</Enabled> <Uri>http://schemas.microsoft.com/wbem/wsman/1/windows/EventLog</Uri> <!-- Use Normal (default), Custom, MinLatency, MinBandwidth --> <ConfigurationMode>Custom</ConfigurationMode> <Delivery Mode="Push"> <Batching> <MaxItems>20</MaxItems> <MaxLatencyTime>60000</MaxLatencyTime> </Batching> <PushSettings> <HostName>thisMachine.myDomain.com</HostName> <Heartbeat Interval="60000"/> </PushSettings> </Delivery> <Expires>2010-01-01T00:00:00.000Z</Expires> <Query> <![CDATA[ <QueryList> <Query Path="Application"> <Select>*</Select> </Query> </QueryList> ]]> </Query> <ReadExistingEvents>false</ReadExistingEvents> <TransportName>http</TransportName> <ContentFormat>RenderedText</ContentFormat> <Locale Language="en-US"/> <LogFile>ForwardedEvents</LogFile> <CredentialsType>Default</CredentialsType> <EventSources> <EventSource Enabled="true"> <Address>mySource.myDomain.com</Address> <UserName>myUserName</UserName> </EventSource> </EventSources> </Subscription>
下列 XML 是訂用帳戶組態檔的範例,其會建立來源起始的訂用帳戶,以將遠端電腦的應用程式事件記錄檔的事件轉送至 ForwardedEvents 記錄檔。
<Subscription xmlns="http://schemas.microsoft.com/2006/03/windows/events/subscription"> <SubscriptionId>SampleSISubscription</SubscriptionId> <SubscriptionType>SourceInitiated</SubscriptionType> <Description>Source Initiated Subscription Sample</Description> <Enabled>true</Enabled> <Uri>http://schemas.microsoft.com/wbem/wsman/1/windows/EventLog</Uri> <!-- Use Normal (default), Custom, MinLatency, MinBandwidth --> <ConfigurationMode>Custom</ConfigurationMode> <Delivery Mode="Push"> <Batching> <MaxItems>1</MaxItems> <MaxLatencyTime>1000</MaxLatencyTime> </Batching> <PushSettings> <Heartbeat Interval="60000"/> </PushSettings> </Delivery> <Expires>2018-01-01T00:00:00.000Z</Expires> <Query> <![CDATA[ <QueryList> <Query Path="Application"> <Select>Event[System/EventID='999']</Select> </Query> </QueryList> ]]> </Query> <ReadExistingEvents>true</ReadExistingEvents> <TransportName>http</TransportName> <ContentFormat>RenderedText</ContentFormat> <Locale Language="en-US"/> <LogFile>ForwardedEvents</LogFile> <AllowedSourceNonDomainComputers></AllowedSourceNonDomainComputers> <AllowedSourceDomainComputers>O:NSG:NSD:(A;;GA;;;DC)(A;;GA;;;NS)</AllowedSourceDomainComputers> </Subscription>
注意
建立來源起始的訂用帳戶時,如果AllowedSourceDomainComputers、AllowedSourceNonDomainComputers/IssuerCAList、AllowedSubjectList 和 DeniedSubjectList全都是空的,則AllowedSourceDomainComputers - 「O:NSG:NSD: (A;;GA;;;DC) (A;;Ga;;;NS) 」。 此 SDDL 預設會授與網域電腦網域群組的成員,以及本機轉寄站) 的本機網路服務群組 (,讓此訂用帳戶能夠引發事件。
-
/cun: USERNAME
-
值,設定用於沒有自己使用者認證之事件來源的共用使用者認證。 此值僅適用于收集器起始的訂用帳戶。
注意
如果指定此參數,則會忽略組態檔中個別事件來源的使用者名稱和密碼設定。 如果您想要針對特定事件來源使用不同的認證,您可以在另一個 set-subscription 命令的命令列上指定特定事件來源的 /un 和 /up 參數,以覆寫此值。
-
/cup: PASSWORD
-
值,設定共用使用者認證的使用者密碼。 當 PASSWORD 設定為 「*」 (星號) 時,則會從主控台讀取密碼。 只有在指定 /cun 參數時,此選項才有效。
刪除訂用帳戶
下列語法是用來刪除事件訂閱。
wecutil { ds | delete-subscription } SUBSCRIPTION_ID
刪除參數
-
SUBSCRIPTION_ID
-
可唯一識別訂閱的字串。 這個識別碼是在用來建立訂閱的 XML 組態檔中的 SubscriptionId 元素中指定。 此參數中所識別的訂用帳戶將會遭到刪除。
重試訂用帳戶
下列語法可用來嘗試重新啟用所有或指定的事件來源,方法是建立與每個事件來源的連線,並將遠端訂用帳戶要求傳送至事件來源,以重試非作用中的訂用帳戶。 不會重試停用的事件來源。
wecutil { rs | retry-subscription } SUBSCRIPTION_ID
[EVENT_SOURCE [EVENT_SOURCE] ...]
重試參數
-
SUBSCRIPTION_ID
-
可唯一識別訂閱的字串。 這個識別碼是在用來建立訂閱的 XML 組態檔中的 SubscriptionId 元素中指定。 將會重試此參數中所識別的訂用帳戶。
-
EVENT_SOURCE
-
值,識別事件訂閱之事件來源的電腦。 此值可以是電腦、NetBIOS 名稱或 IP 位址的完整功能變數名稱。
設定 Windows 事件收集器服務
下列語法是用來設定 Windows 事件收集器服務,以確保可以透過電腦重新開機來建立及維持事件訂閱。 這包括下列程式:
設定 Windows 事件收集器服務
- 如果已停用,請啟用 ForwardedEvents 通道。
- 延遲啟動 Windows 事件收集器服務。
- 如果 Windows 事件收集器服務未執行,請啟動它。
wecutil { qc | quick-config } /q:VALUE
設定事件收集器參數
-
/q: VALUE
-
值,判斷快速設定命令是否會提示確認。 VALUE 可以是 true 或 false。 如果 VALUE 為 true,則命令會提示確認。 預設值為 false。
規格需求
需求 | 值 |
---|---|
最低支援的用戶端 |
Windows Vista |
最低支援的伺服器 |
Windows Server 2008 |