wecutil
Consente di creare e gestire sottoscrizioni a eventi inoltrati da computer remoti. Il computer remoto deve supportare il protocollo WS-Management.
Importante
Se viene visualizzato il messaggio "Il server RPC non è disponibile? quando si tenta di eseguire wecutil, è necessario avviare il servizio Agente di raccolta eventi di Windows (wecsvc). Per avviare wecsvc, al prompt dei comandi con privilegi elevati digitare net start wecsvc.
Sintassi
wecutil [{es | enum-subscription}] [{gs | get-subscription} <Subid> [/f:<Format>] [/uni:<Unicode>]] [{gr | get-subscriptionruntimestatus} <Subid> [<Eventsource> …]] [{ss | set-subscription} [<Subid> [/e:[<Subenabled>]] [/esa:<Address>] [/ese:[<Srcenabled>]] [/aes] [/res] [/un:<Username>] [/up:<Password>] [/d:<Desc>] [/uri:<Uri>] [/cm:<Configmode>] [/ex:<Expires>] [/q:<Query>] [/dia:<Dialect>] [/tn:<Transportname>] [/tp:<Transportport>] [/dm:<Deliverymode>] [/dmi:<Deliverymax>] [/dmlt:<Deliverytime>] [/hi:<Heartbeat>] [/cf:<Content>] [/l:<Locale>] [/ree:[<Readexist>]] [/lf:<Logfile>] [/pn:<Publishername>] [/essp:<Enableport>] [/hn:<Hostname>] [/ct:<Type>]] [/c:<Configfile> [/cun:<Username> /cup:<Password>]]] [{cs | create-subscription} <Configfile> [/cun:<Username> /cup:<Password>]] [{ds | delete-subscription} <Subid>] [{rs | retry-subscription} <Subid> [<Eventsource>…]] [{qc | quick-config} [/q:[<quiet>]]]
Parametri
| Parametro | Descrizione |
|---|---|
{es | enum-subscription} |
Visualizza i nomi di tutte le sottoscrizioni di eventi remoti esistenti. |
{gs | get-subscription} <Subid> [/f:<Format>] [/uni:<Unicode>] |
Visualizza le informazioni di configurazione sottoscrizione remota. <Subid> è una stringa che identifica in modo univoco una sottoscrizione. È uguale alla stringa specificata nel <SubscriptionId> tag del file di configurazione XML, che è stata usata per creare la sottoscrizione. |
{gr | get-subscriptionruntimestatus} <Subid> [<Eventsource> …] |
Visualizza lo stato di runtime di una sottoscrizione. <Subid> è una stringa che identifica in modo univoco una sottoscrizione. È uguale alla stringa specificata nel <SubscriptionId> tag del file di configurazione XML, che è stata usata per creare la sottoscrizione. <Eventsource> è una stringa che identifica un computer che funge da origine di eventi. Deve essere un nome di dominio completo, un nome NetBIOS o un indirizzo IP. |
{ss | set-subscription} <Subid> [/e:[<Subenabled>]] [/esa:<Address>] [/ese:[<Srcenabled>]] [/aes] [/res] [/un:<Username>] [/up:<Password>] [/d:<Desc>] [/uri:<Uri>] [/cm:<Configmode>] [/ex:<Expires>] [/q:<Query>] [/dia:<Dialect>] [/tn:<Transportname>] [/tp:<Transportport>] [/dm:<Deliverymode>] [/dmi:<Deliverymax>] [/dmlt:<Deliverytime>] [/hi:<Heartbeat>] [/cf:<Content>] [/l:<Locale>] [/ree:[<Readexist>]] [/lf:<Logfile>] [/pn:<Publishername>] [/essp:<Enableport>] [/hn:<Hostname>] [/ct:<Type>] OPPURE {ss | set-subscription /c:<Configfile> [/cun:<Comusername> /cup:<Compassword>] |
Modifica la configurazione della sottoscrizione. È possibile specificare l'ID sottoscrizione e le opzioni appropriate per modificare i parametri di sottoscrizione oppure è possibile specificare un file di configurazione XML per modificare i parametri di sottoscrizione. |
{cs | create-subscription} <Configfile> [/cun:<Username> /cup:<Password>] |
Crea una sottoscrizione remota. <Configfile> specifica il percorso del file XML che contiene la configurazione della sottoscrizione. Il percorso può essere assoluto o relativo alla directory corrente. |
{ds | delete-subscription} <Subid> |
Elimina una sottoscrizione e Annulla la sottoscrizione da tutte le origini eventi che inviano eventi nel registro eventi per la sottoscrizione. Non vengono eliminati tutti gli eventi già ricevuti e registrati. <Subid> è una stringa che identifica in modo univoco una sottoscrizione. È uguale alla stringa specificata nel <SubscriptionId> tag del file di configurazione XML, che è stata usata per creare la sottoscrizione. |
{rs | retry-subscription} <Subid> [<Eventsource>…] |
Tenterà di stabilire una connessione e inviare una richiesta di sottoscrizione remoto a una sottoscrizione inattiva. Tenta di riattivare tutte le origini evento o specificare le origini eventi. Origini disabilitate non vengono ripetute. <Subid> è una stringa che identifica in modo univoco una sottoscrizione. È uguale alla stringa specificata nel <SubscriptionId> tag del file di configurazione XML, che è stata usata per creare la sottoscrizione. <Eventsource> è una stringa che identifica un computer che funge da origine di eventi. Deve essere un nome di dominio completo, un nome NetBIOS o un indirizzo IP. |
{qc | quick-config} [/q:[<Quiet>]] |
Configura il servizio Raccolta eventi Windows per garantire una sottoscrizione può essere creata e mantenuta anche dopo il riavvio. Questo include i passaggi seguenti:
|
Opzioni
| Opzione | Descrizione |
|---|---|
/F:<Format> |
Specifica il formato delle informazioni visualizzate. <Format> può essere XML o Terse. Se è XML, l'output viene visualizzato in formato XML. Se è Terse, l'output viene visualizzato in coppie nome-valore. Il valore predefinito è Terse. |
/C:<Configfile> |
Specifica il percorso del file XML che contiene una configurazione della sottoscrizione. Il percorso può essere assoluto o relativo alla directory corrente. Questa opzione può essere utilizzata solo con il /cun e /cup Opzioni e si escludono a vicenda con tutte le altre opzioni. |
/e:[<Subenabled>] |
Abilita o disabilita una sottoscrizione. <Subenabled> può essere true o false. Il valore predefinito di questa opzione è true. |
/Esa:<Address> |
Specifica l'indirizzo di un'origine evento. <Address> è una stringa che contiene un nome di dominio completo, un nome NetBIOS o un indirizzo IP, che identifica un computer che funge da origine di eventi. Questa opzione deve essere utilizzata con il /ese, /aes, /res, o /un e /up Opzioni. |
/ESE: [<Srcenabled>] |
Abilita o disabilita un'origine evento. <Srcenabled> può essere true o false. Questa opzione è consentita solo se il /esa opzione specificata. Il valore predefinito di questa opzione è true. |
| /AES | Aggiunge l'origine evento specificata dal /esa opzione se non è già parte della sottoscrizione. Se l'indirizzo specificato per il /esa opzione fa già parte della sottoscrizione, viene restituito un errore. Questa opzione è consentita solo se il /esa opzione specificata. |
| /res | Rimuove l'origine evento specificata dal /esa opzione se è già parte della sottoscrizione. Se l'indirizzo specificato per il /esa opzione non è una parte della sottoscrizione, viene restituito un errore. Questa opzione è consentita solo se /esa opzione specificata. |
/un:<Username> |
Specifica le credenziali utente da utilizzare con l'origine evento specificata tramite il /esa (opzione). Questa opzione è consentita solo se il /esa opzione specificata. |
/up:<Password> |
Specifica la password che corrisponde alle credenziali utente. Questa opzione è consentita solo se il /un opzione specificata. |
/D:<Desc> |
Fornisce una descrizione per la sottoscrizione. |
/Uri:<Uri> |
Specifica il tipo di eventi che vengono utilizzate dalla sottoscrizione. <Uri> contiene una stringa URI combinata con l'indirizzo del computer di origine eventi per identificare in modo univoco l'origine degli eventi. La stringa URI è utilizzata per tutti gli indirizzi di origine evento nella sottoscrizione. |
/Cm:<Configmode> |
Imposta la modalità di configurazione. <Configmode> può essere una delle stringhe seguenti: Normal, Custom, MinLatency o MinBandwidth. Le modalità Normal, MinLatency e MinBandwidth impostano la modalità di recapito, gli elementi max di recapito, l'intervallo di heartbeat e il tempo di latenza massima di recapito. Le opzioni /dm, /dmi, /hi o /dmlt possono essere specificate solo se la modalità di configurazione è impostata su Personalizzato. |
/ex:<Expires> |
Imposta l'ora di scadenza della sottoscrizione. <Expires> deve essere definito nel formato XML standard o ISO8601 data e ora: yyyy-MM-ddThh:mm:ss[.sss][Z], dove T è il separatore dell'ora e Z indica l'ora UTC. |
/D:<Query> |
Specifica la stringa di query per la sottoscrizione. Il formato di <Query> possono essere diversi per diversi valori URI e si applica a tutte le origini nella sottoscrizione. |
/Diametro:<Dialect> |
Definisce il dialetto utilizzato dalla stringa di query. |
/Tn:<Transportname> |
Specifica il nome del trasporto utilizzato per connettersi a un'origine eventi remoto. |
/Tp:<Transportport> |
Imposta il numero di porta utilizzato dal trasporto per la connessione a un'origine eventi remoto. |
/Dm:<Deliverymode> |
Specifica la modalità di recapito. <Deliverymode> può essere pull o push. Questa opzione è valida solo se l'opzione /cm è impostata su Personalizzato. |
/Dmi:<Deliverymax> |
Imposta il numero massimo di elementi per il recapito in batch. Questa opzione è valida solo se /cm è impostato su Personalizzato. |
/dmlt:<Deliverytime> |
Imposta la latenza massima nella fornitura di un batch di eventi. <Deliverytime> è il numero di millisecondi. Questa opzione è valida solo se /cm è impostato su Custom. |
/Ciao:<Heartbeat> |
Definisce l'intervallo di heartbeat. <Heartbeat> è il numero di millisecondi. Questa opzione è valida solo se /cm è impostato su Personalizzato. |
/Cfr:<Content> |
Specifica il formato degli eventi che vengono restituiti. <Content> può essere Events o RenderedText. Quando il valore è RenderedText, gli eventi vengono restituiti con le stringhe localizzate (ad esempio la descrizione dell'evento) associate all'evento. Il valore predefinito è RenderedText. |
/l:<Locale> |
Specifica le impostazioni locali per il recapito delle stringhe localizzate nel formato di informazioni sulla. <Locale> è una lingua e un identificatore di paese/area geografica, ad esempio EN-us. Questa opzione è valida solo se l'opzione /cf è impostata su RenderedText. |
/Ree: [<Readexist>] |
Identifica gli eventi recapitati per la sottoscrizione. <Readexist> può essere true o false. Quando il <Readexist> è true, tutti gli eventi esistenti vengono lette da origini di eventi di sottoscrizione. Quando il <Readexist> è false, vengono inviati solo eventi (in entrata) future. Il valore predefinito è true per un'opzione /ree senza un valore. Se non viene specificata alcuna opzione /ree , il valore predefinito è false. |
/Se:<Logfile> |
Specifica il registro eventi locale utilizzato per archiviare gli eventi ricevuti dalle origini eventi. |
/Pn:<Publishername> |
Specifica il nome dell'autore. Deve essere un server di pubblicazione che possiede o Importa log specificato dal parametro di /lf (opzione). |
/essp:<Enableport> |
Specifica che il numero di porta deve essere aggiunto al nome dell'entità servizio del servizio remoto. <Enableport> può essere true o false. Il numero di porta viene aggiunto quando <Enableport> è true. Quando viene aggiunto il numero di porta, alcune operazioni di configurazione potrebbe essere necessario impedire l'accesso alle origini eventi da negata. |
/Hn:<Hostname> |
Specifica il nome DNS del computer locale. Questo nome viene utilizzato dall'origine di eventi remoti per eseguire il push degli eventi e deve essere utilizzato solo per una sottoscrizione push. |
/Ct:<Type> |
Imposta il tipo di credenziali per l'accesso remoto di origine. <Type> deve essere uno dei valori seguenti: default, negotiate, digest, basic o localmachine. Il valore predefinito è predefinito. |
/Cun:<Comusername> |
Imposta le credenziali utente condivise da utilizzare per le origini evento che non hanno le proprie credenziali utente. Se questa opzione viene specificata con il /c UserName e UserPassword le impostazioni delle opzioni per le origini eventi singoli dal file di configurazione vengono ignorate. Se si desidera utilizzare credenziali diverse per un'origine evento specifico, è necessario eseguire l'override di questo valore specificando la /un e /up Opzioni per un'origine evento specifico nella riga di comando di un altro ss comando. |
/Tazza:<Compassword> |
Imposta la password dell'utente per le credenziali utente condivise. Quando <Compassword> è impostato su * (asterisco), la password viene letta dalla console. Questa opzione è valida solo quando il /cun opzione specificata. |
/q:[<Quiet>] |
Specifica se la procedura di configurazione richiede la conferma. <Quiet> può essere true o false. Se <Quiet> è true, la procedura di configurazione non richiede conferma. Il valore predefinito di questa opzione è false. |
Esempi
Per visualizzare il contenuto di un file di configurazione, digitare:
<Subscription xmlns=https://schemas.microsoft.com/2006/03/windows/events/subscription>
<Uri>https://schemas.microsoft.com/wbem/wsman/1/windows/EventLog</Uri>
<!-- Use Normal (default), Custom, MinLatency, MinBandwidth -->
<ConfigurationMode>Normal</ConfigurationMode>
<Description>Forward Sample Subscription</Description>
<SubscriptionId>SampleSubscription</SubscriptionId>
<Query><![CDATA[
<QueryList>
<Query Path=Application>
<Select>*</Select>
</Query>
</QueryList>]]
</Query>
<EventSources>
<EventSource Enabled=true>
<Address>mySource.myDomain.com</Address>
<UserName>myUserName</UserName>
<Password>*</Password>
</EventSource>
</EventSources>
<CredentialsType>Default</CredentialsType>
<Locale Language=EN-US></Locale>
</Subscription>
Per visualizzare le informazioni di configurazione di output per una sottoscrizione denominata sub1, digitare:
wecutil gs sub1
Output di esempio:
EventSource[0]:
Address: localhost
Enabled: true
Description: Subscription 1
Uri: wsman:microsoft/logrecord/sel
DeliveryMode: pull
DeliveryMaxSize: 16000
DeliveryMaxItems: 15
DeliveryMaxLatencyTime: 1000
HeartbeatInterval: 10000
Locale:
ContentFormat: renderedtext
LogFile: HardwareEvents
Per visualizzare lo stato di runtime di una sottoscrizione denominata sub1, digitare:
wecutil gr sub1
Per aggiornare la configurazione della sottoscrizione denominata sub1 da un nuovo file XML denominato WsSelRg2.xml, digitare:
wecutil ss sub1 /c:%Windir%system32WsSelRg2.xml
Per aggiornare la configurazione della sottoscrizione denominata sub2 con più parametri, digitare:
wecutil ss sub2 /esa:myComputer /ese /un:uname /up:* /cm:Normal
Per eliminare una sottoscrizione denominata sub1, digitare:
wecutil ds sub1