wecutil
Le permite crear y administrar suscripciones a eventos que se reenvían desde equipos remotos. El equipo remoto debe admitir el protocolo WS-Management.
Importante
Si recibe el mensaje "El servidor RPC no está disponible" cuando intente ejecutar wecutil, deberá iniciar el servicio del Recopilador de eventos de Windows (wecsvc). Para iniciar wecsvc, en un símbolo del sistema con privilegios elevados, escriba net start wecsvc.
Sintaxis
wecutil [{es | enum-subscription}] [{gs | get-subscription} <Subid> [/f:<Format>] [/uni:<Unicode>]] [{gr | get-subscriptionruntimestatus} <Subid> [<Eventsource> …]] [{ss | set-subscription} [<Subid> [/e:[<Subenabled>]] [/esa:<Address>] [/ese:[<Srcenabled>]] [/aes] [/res] [/un:<Username>] [/up:<Password>] [/d:<Desc>] [/uri:<Uri>] [/cm:<Configmode>] [/ex:<Expires>] [/q:<Query>] [/dia:<Dialect>] [/tn:<Transportname>] [/tp:<Transportport>] [/dm:<Deliverymode>] [/dmi:<Deliverymax>] [/dmlt:<Deliverytime>] [/hi:<Heartbeat>] [/cf:<Content>] [/l:<Locale>] [/ree:[<Readexist>]] [/lf:<Logfile>] [/pn:<Publishername>] [/essp:<Enableport>] [/hn:<Hostname>] [/ct:<Type>]] [/c:<Configfile> [/cun:<Username> /cup:<Password>]]] [{cs | create-subscription} <Configfile> [/cun:<Username> /cup:<Password>]] [{ds | delete-subscription} <Subid>] [{rs | retry-subscription} <Subid> [<Eventsource>…]] [{qc | quick-config} [/q:[<quiet>]]]
Parámetros
| Parámetro | Descripción |
|---|---|
{es | enum-subscription} |
Muestra los nombres de todas las suscripciones de eventos remotos que existen. |
{gs | get-subscription} <Subid> [/f:<Format>] [/uni:<Unicode>] |
Muestra información de configuración de la suscripción remota. <Subid> es una cadena que identifica de forma única una suscripción. Es la misma que la cadena que se especificó en la etiqueta <SubscriptionId> del archivo de configuración XML, que se usó para crear la suscripción. |
{gr | get-subscriptionruntimestatus} <Subid> [<Eventsource> …] |
Muestra el estado en tiempo de ejecución de una suscripción. <Subid> es una cadena que identifica de forma única una suscripción. Es la misma que la cadena que se especificó en la etiqueta <SubscriptionId> del archivo de configuración XML, que se usó para crear la suscripción. <Eventsource> es una cadena que identifica un equipo que actúa como origen de eventos. Debería ser un nombre de dominio completo, un nombre de NetBIOS o una dirección IP. |
{ss | set-subscription} <Subid> [/e:[<Subenabled>]] [/esa:<Address>] [/ese:[<Srcenabled>]] [/aes] [/res] [/un:<Username>] [/up:<Password>] [/d:<Desc>] [/uri:<Uri>] [/cm:<Configmode>] [/ex:<Expires>] [/q:<Query>] [/dia:<Dialect>] [/tn:<Transportname>] [/tp:<Transportport>] [/dm:<Deliverymode>] [/dmi:<Deliverymax>] [/dmlt:<Deliverytime>] [/hi:<Heartbeat>] [/cf:<Content>] [/l:<Locale>] [/ree:[<Readexist>]] [/lf:<Logfile>] [/pn:<Publishername>] [/essp:<Enableport>] [/hn:<Hostname>] [/ct:<Type>] OR {ss | set-subscription /c:<Configfile> [/cun:<Comusername> /cup:<Compassword>] |
Cambia la configuración de la suscripción. Puede especificar el identificador de suscripción y las opciones adecuadas para cambiar los parámetros de la suscripción, o puede especificar un archivo de configuración XML para cambiar los parámetros de la suscripción. |
{cs | create-subscription} <Configfile> [/cun:<Username> /cup:<Password>] |
Crea una suscripción remota. <Configfile> especifica la ruta de acceso al archivo XML que contiene la configuración de la suscripción. La ruta de acceso puede ser absoluta o relativa al directorio actual. |
{ds | delete-subscription} <Subid> |
Elimina una suscripción y cancela la suscripción de todos los orígenes de eventos que entregan eventos en el registro de eventos de la suscripción. Los eventos ya recibidos y registrados no se eliminan. <Subid> es una cadena que identifica de forma única una suscripción. Es la misma que la cadena que se especificó en la etiqueta <SubscriptionId> del archivo de configuración XML, que se usó para crear la suscripción. |
{rs | retry-subscription} <Subid> [<Eventsource>…] |
Vuelve a intentar establecer una conexión y enviar una solicitud de suscripción remota a una suscripción inactiva. Intenta reactivar todos los orígenes de eventos o los orígenes de eventos especificados. Los orígenes deshabilitados no se reintentan. <Subid> es una cadena que identifica de forma única una suscripción. Es la misma que la cadena que se especificó en la etiqueta <SubscriptionId> del archivo de configuración XML, que se usó para crear la suscripción. <Eventsource> es una cadena que identifica un equipo que actúa como origen de eventos. Debería ser un nombre de dominio completo, un nombre de NetBIOS o una dirección IP. |
{qc | quick-config} [/q:[<Quiet>]] |
Configura el servicio Recopilador de eventos de Windows para asegurarse de que se puede crear y mantener una suscripción a través de reinicios. Esto incluye los siguientes pasos:
|
Opciones
| Opción | Descripción |
|---|---|
/f:<Format> |
Especifica el formato de la información que se muestra. <Format> puede ser XML o Terse. Si es XML, la salida se muestra en formato XML. Si es Terse, la salida se muestra en pares nombre-valor. El valor predeterminado es Terse. |
/c:<Configfile> |
Especifica la ruta de acceso al archivo XML que contiene una configuración de suscripción. La ruta de acceso puede ser absoluta o relativa al directorio actual. Esta opción solo se puede usar con las opciones /cun y /cup y es mutuamente excluyente con todas las demás opciones. |
/e:[<Subenabled>] |
Habilita o deshabilita una suscripción. <Subenabled> puede ser true o false. El valor predeterminado de esta opción es true. |
/esa:<Address> |
Especifica la dirección de un origen de eventos. <Address> es una cadena que contiene un nombre de dominio completo, un nombre de NetBIOS o una dirección IP, que identifica un equipo que actúa como origen de eventos. Esta opción debe usarse con las opciones /ese, /aes, /res o /un y /up. |
/ese:[<Srcenabled>] |
Habilita o deshabilita un origen de eventos. <Srcenabled> puede ser true o false. Esta opción solo está permitida si se especifica la opción /esa. El valor predeterminado de esta opción es true. |
| /aes | Agrega el origen de eventos especificado por la opción /esa si aún no forma parte de la suscripción. Si la dirección especificada por la opción /esa ya forma parte de la suscripción, se notifica un error. Esta opción solo está permitida si se especifica la opción /esa. |
| /res | Quita el origen del evento especificado por la opción /esa si ya forma parte de la suscripción. Si la dirección especificada por la opción /esa no forma parte de la suscripción, se informa de un error. Esta opción solo está permitida si se especifica la opción /esa. |
/un:<Username> |
Especifica la credencial de usuario que se va a usar con el origen del evento especificado por la opción /esa. Esta opción solo está permitida si se especifica la opción /esa. |
/up:<Password> |
Especifica la contraseña que corresponde a la credencial de usuario. Esta opción solo está permitida si se especifica la opción /un. |
/d:<Desc> |
Proporciona una descripción para la suscripción. |
/uri:<Uri> |
Especifica el tipo de los eventos consumidos por la suscripción. <Uri> contiene una cadena de URI que se combina con la dirección del equipo de origen del evento para identificar de forma única el origen de los eventos. La cadena de URI se usa para todas las direcciones de origen de eventos de la suscripción. |
/cm:<Configmode> |
Establece el modo de configuración. <Configmode> puede ser una de las siguientes cadenas: Normal, Custom, MinLatency o MinBandwidth. Los modos Normal, MinLatency y MinBandwidth establecen el modo de entrega, los elementos máximos de entrega, el intervalo de latido y el tiempo de latencia máxima de entrega. Las opciones /dm, /dmi, /hi o /dmlt solo se pueden especificar si el modo de configuración está establecido en Custom. |
/ex:<Expires> |
Establece la hora en que expira la suscripción. <Expires> debe definirse en formato de fecha y hora XML estándar o ISO8601: yyyy-MM-ddThh:mm:ss[.sss][Z], donde T es el separador de hora y Z indica la hora UTC. |
/q:<Query> |
Especifica la cadena de consulta de la suscripción. El formato de <Query> puede ser diferente para distintos valores de URI y se aplica a todos los orígenes de la suscripción. |
/dia:<Dialect> |
Define el dialecto que usa la cadena de consulta. |
/tn:<Transportname> |
Especifica el nombre del transporte que se usa para conectarse a un origen de eventos remotos. |
/tp:<Transportport> |
Establece el número de puerto que usa el transporte al conectarse a un origen de eventos remoto. |
/dm:<Deliverymode> |
Especifica el modo de entrega. <Deliverymode> puede ser pull o push. Esta opción solo es válida si la opción /cm está establecida en Custom. |
/dmi:<Deliverymax> |
Establece el número máximo de elementos para la entrega por lotes. Esta opción solo es válida si /cm está establecido en Personalizado. |
/dmlt:<Deliverytime> |
Establece la latencia máxima en la entrega de un lote de eventos. <Deliverytime> es el número de milisegundos. Esta opción solo es válida si /cm está establecida en Custom. |
/hi:<Heartbeat> |
Define el intervalo de latido. <Heartbeat> es el número de milisegundos. Esta opción solo es válida si /cm está establecido en Personalizado. |
/cf:<Content> |
Especifica el formato de los eventos que se devuelven. <Content> puede ser Events o RenderedText. Cuando el valor es RenderedText, los eventos se devuelven con las cadenas localizadas (como la descripción del evento) adjunta al evento. El valor predeterminado es RenderedText. |
/l:<Locale> |
Especifica la configuración regional para la entrega de las cadenas localizadas en formato RenderedText. <Locale> es un idioma y un identificador de país o región, por ejemplo, EN-us. Esta opción solo es válida si la opción /cf está establecida en RenderedText. |
/ree:[<Readexist>] |
Identifica los eventos que se entregan para la suscripción. <Readexist> puede ser true or false. Cuando <Readexist> es true, todos los eventos existentes se leen de los orígenes de eventos de la suscripción. Cuando <Readexist> es false, solo se entregan los eventos futuros (que llegan). El valor predeterminado es true para una opción /ree sin un valor. Si no se especifica ninguna opción /ree, el valor predeterminado es false. |
/lf:<Logfile> |
Especifica el registro de eventos local que se usa para almacenar los eventos recibidos de los orígenes de eventos. |
/pn:<Publishername> |
Especifica el nombre del publicador. Debe ser un publicador propietario o importado del registro especificado por la opción /lf. |
/essp:<Enableport> |
Especifica que el número de puerto debe anexarse al nombre de la entidad de seguridad de servicio del servicio remoto. <Enableport> puede ser true o false. El número de puerto se anexa cuando <Enableport> es true. Cuando se anexa el número de puerto, es posible que se requiera alguna configuración para evitar que se deniegue el acceso a los orígenes de eventos. |
/hn:<Hostname> |
Especifica el nombre DNS del equipo local. El origen de eventos remotos usa este nombre para devolver eventos y solo se debe usar para una suscripción de inserción. |
/ct:<Type> |
Establece el tipo de credencial para el acceso de origen remoto. <Type> debe ser uno de los siguientes valores: default, negotiate, digest, basic o localmachine. El valor predeterminado es default. |
/cun:<Comusername> |
Establece la credencial de usuario compartido que se usará para los orígenes de eventos que no tienen sus propias credenciales de usuario. Si se especifica esta opción con la opción /c, se omiten la configuración de UserName y UserPassword para orígenes de eventos individuales del archivo de configuración. Si quiere usar una credencial diferente para un origen de eventos específico, deberá anular este valor especificando las opciones /un y /up para un origen de eventos específico en la línea de comandos de otro comando ss. |
/cup:<Compassword> |
Establece la contraseña de usuario para la credencial de usuario compartido. Cuando <Compassword> se establece en * (asterisco), la contraseña se lee desde la consola. Esta opción solo es válida cuando se especifica la opción /cun. |
/q:[<Quiet>] |
Especifica si el procedimiento de configuración solicita confirmación. <Quiet> puede ser true o false. Si <Quiet> es true, el procedimiento de configuración no solicita confirmación. El valor predeterminado de esta opción es false. |
Ejemplos
Para mostrar el contenido de un archivo de configuración, escriba:
<Subscription xmlns=https://schemas.microsoft.com/2006/03/windows/events/subscription>
<Uri>https://schemas.microsoft.com/wbem/wsman/1/windows/EventLog</Uri>
<!-- Use Normal (default), Custom, MinLatency, MinBandwidth -->
<ConfigurationMode>Normal</ConfigurationMode>
<Description>Forward Sample Subscription</Description>
<SubscriptionId>SampleSubscription</SubscriptionId>
<Query><![CDATA[
<QueryList>
<Query Path=Application>
<Select>*</Select>
</Query>
</QueryList>]]
</Query>
<EventSources>
<EventSource Enabled=true>
<Address>mySource.myDomain.com</Address>
<UserName>myUserName</UserName>
<Password>*</Password>
</EventSource>
</EventSources>
<CredentialsType>Default</CredentialsType>
<Locale Language=EN-US></Locale>
</Subscription>
Para ver la información de configuración de salida de una suscripción denominada sub1, escriba:
wecutil gs sub1
Salida de ejemplo:
EventSource[0]:
Address: localhost
Enabled: true
Description: Subscription 1
Uri: wsman:microsoft/logrecord/sel
DeliveryMode: pull
DeliveryMaxSize: 16000
DeliveryMaxItems: 15
DeliveryMaxLatencyTime: 1000
HeartbeatInterval: 10000
Locale:
ContentFormat: renderedtext
LogFile: HardwareEvents
Para mostrar el estado en tiempo de ejecución de una suscripción denominada sub1, escriba:
wecutil gr sub1
Para actualizar la configuración de la suscripción denominada sub1 desde un nuevo archivo XML denominado WsSelRg2.xml, escriba:
wecutil ss sub1 /c:%Windir%system32WsSelRg2.xml
Para actualizar la configuración de la suscripción denominada sub2 con varios parámetros, escriba:
wecutil ss sub2 /esa:myComputer /ese /un:uname /up:* /cm:Normal
Para eliminar una suscripción denominada sub1, escriba:
wecutil ds sub1