Condividi tramite

Wecutil.exe

  • Articolo

Wecutil.exe è un'utilità di raccolta eventi di Windows che consente a un amministratore di creare e gestire sottoscrizioni agli eventi inoltrati da origini eventi remote che supportano il protocollo di WS-Management. I comandi, le opzioni e i valori delle opzioni sono senza distinzione tra maiuscole e minuscole per questa utilità.

Se viene visualizzato un messaggio che indica "Il server RPC non è disponibile" o "L'interfaccia è sconosciuta" quando si tenta di eseguire wecutil, è necessario avviare il servizio agente di raccolta eventi di Windows (wecsvc). Per avviare wecsvc, in un prompt dei comandi con privilegi elevati digitare net start wecsvc.

Elencare le sottoscrizioni esistenti

La sintassi seguente viene usata per elencare le sottoscrizioni degli eventi remoti esistenti.

wecutil { es | enum-subscription }

Se si usa uno script per ottenere i nomi delle sottoscrizioni dall'output, è necessario ignorare i caratteri bom UTF-8 nella prima riga dell'output. Lo script seguente illustra un esempio di come ignorare i caratteri bom.

setlocal enabledelayedexpansion

set bomskipped=
for /f %%i in ('wecutil es') do (
    set sub=%%i
    if not defined bomskipped (
        set sub=!sub:~3!
        set bomskipped=yes
    )
    echo !sub!
)
goto :eof

endlocal

Ottenere la configurazione della sottoscrizione

La sintassi seguente viene usata per visualizzare i dati di configurazione della sottoscrizione degli eventi remoti.

wecutil { gs | get-subscription } SUBSCRIPTION_ID [/f:VALUE 
[/u:VALUE] ...]

Ottenere i parametri di configurazione

SUBSCRIPTION_ID

Stringa che identifica in modo univoco una sottoscrizione. Questo identificatore viene specificato nell'elemento SubscriptionId nel file di configurazione XML usato per creare la sottoscrizione.

/f:VALUE

Valore che specifica l'output dei dati di configurazione della sottoscrizione. VALUE può essere "XML" o "Terse" e il valore predefinito è "Terse". Se VALUE è "XML", l'output viene stampato in formato "XML". Se VALUE è "Terse", l'output viene stampato nelle coppie nome-valore.

/u: VALUE

Valore che specifica se l'output è in formato Unicode. VALUE può essere "true" o "false". Se VALUE è "true", l'output è in formato Unicode e se VALUE è "false", l'output non è in formato Unicode.

Ottenere lo stato di runtime della sottoscrizione

La sintassi seguente viene usata per visualizzare lo stato di runtime della sottoscrizione.

wecutil { gr | get-subscriptionruntimestatus } SUBSCRIPTION_ID
 [EVENT_SOURCE [EVENT_SOURCE] ...]

Ottenere parametri di stato

SUBSCRIPTION_ID

Stringa che identifica in modo univoco una sottoscrizione. Questo identificatore viene specificato nell'elemento SubscriptionId nel file di configurazione XML usato per creare la sottoscrizione.

EVENT_SOURCE

Valore che identifica un computer che è un'origine evento per una sottoscrizione di eventi. Questo valore può essere il nome di dominio completo per il computer, il nome NetBIOS o l'indirizzo IP.

Impostare le informazioni di configurazione della sottoscrizione

La sintassi seguente viene usata per impostare i dati di configurazione della sottoscrizione modificando i parametri della sottoscrizione dalla riga di comando o usando un file di configurazione XML.

wecutil { ss | set_subscription } SUBSCRIPTION_ID [/e:VALUE] 
[/esa:EVENT_SOURCE [/ese:VALUE] [/aes] [/res] [/un:USERNAME] [/up:PASSWORD]] 
[/d:DESCRIPTION] [/uri:URI] [/cm:CONFIGURATION_MODE] [/ex:DATE_TIME] 
[/q:QUERY] [/dia:DIALECT] [/tn:TRANSPORTNAME] [/tp:TRANSPORTPORT] [/dm:MODE] 
[/dmi:NUMBER] [/dmlt:MS] [/hi:MS] [/cf:FORMAT] [/l:LOCALE] [/ree:[VALUE]] 
[/lf:FILENAME] [/pn:PUBLISHER] [/hn:NAME] [/ct:TYPE] 
[/cun:USERNAME] [/cup:PASSWORD] 
[/ica:THUMBPRINTS] [/as:ALLOWED] [/ds:DENIED] [/adc:SDDL]

wecutil {ss | set_subscription } /c:CONGIG_FILE [/cun:USERNAME] 
[/cup:PASSWORD]

Commenti

Quando viene specificato un nome utente o una password non corretti nel comando wecutil ss , non viene segnalato alcun errore finché non viene visualizzato lo stato di runtime della sottoscrizione usando il comando wecutil gr .

Impostare i parametri di configurazione

SUBSCRIPTION_ID

Stringa che identifica in modo univoco una sottoscrizione. Questo identificatore viene specificato nell'elemento SubscriptionId nel file di configurazione XML usato per creare la sottoscrizione.

/c: CONGIG_FILE

Valore che specifica il percorso del file XML contenente le informazioni di configurazione della sottoscrizione. Il percorso può essere assoluto o relativo alla directory corrente. Questo parametro può essere usato solo con i parametri /cus e /cup facoltativi ed è a vicenda esclusivo con tutti gli altri parametri.

/e: VALUE

Valore che determina se abilitare o disabilitare la sottoscrizione. VALUE può essere true o false. Il valore predefinito è true, che abilita la sottoscrizione.

Nota

Quando si disabilita una sottoscrizione avviata dall'agente di raccolta, l'origine evento diventa inattiva anziché disabilitata. In una sottoscrizione avviata dall'agente di raccolta è possibile disabilitare un'origine evento indipendente dalla sottoscrizione.

/d: DESCRIZIONE

Valore che specifica una descrizione per la sottoscrizione dell'evento.

/ex: DATE_TIME

Valore che specifica l'ora di scadenza della sottoscrizione. DATE_TIME è un valore specificato nel formato XML standard o ISO8601: "Aa-MM-ddThh:mm:ss[.sss][Z]" dove "T" è il separatore temporale e "Z" indica l'ora UTC. Ad esempio, se DATE_TIME è "2007-01-12T01:20:00", la scadenza della sottoscrizione è il 12 gennaio 2007, 01:20.

/uri: URI

Valore che specifica il tipo di eventi utilizzati dalla sottoscrizione. L'indirizzo del computer dell'origine evento insieme all'URI (Uniform Resource Identifier) identifica in modo univoco l'origine degli eventi. La stringa URI è utilizzata per tutti gli indirizzi di origine evento nella sottoscrizione.

/cm: CONFIGURATION_MODE

Valore che specifica la modalità di configurazione della sottoscrizione dell'evento. CONFIGURATION_MODE può essere una delle stringhe seguenti: "Normal", "Custom", "MinLatency" o "MinBandwidth". L'enumerazione EC_SUBSCRIPTION_CONFIGURATION_MODE definisce le modalità di configurazione. I parametri /dm, /dmi, /hi e /dmlt possono essere specificati solo se la modalità di configurazione è impostata su Personalizzato.

/q: QUERY

Valore che specifica la stringa di query per la sottoscrizione. Il formato di questa stringa può essere diverso per valori URI diversi e si applica a tutte le origini eventi nella sottoscrizione.

/dia: DIALETTO

Valore che specifica il dialetto utilizzato dalla stringa di query.

/cf: FORMAT

Valore che specifica il formato degli eventi restituiti. FORMAT può essere "Eventi" o "RenderedText". Quando il valore è "RenderedText", gli eventi vengono restituiti con le stringhe localizzate (ad esempio stringhe di descrizione evento) associate agli eventi. Il valore predefinito di FORMAT è "RenderedText".

/l: IMPOSTAZIONI LOCALI

Valore che specifica le impostazioni locali per il recapito delle stringhe localizzate nel formato di testo di cui è stato eseguito il rendering. Le impostazioni locali sono un identificatore cultura di lingua/paese, ad esempio "EN-us". Questo parametro è valido solo quando il parametro /cf è impostato su "RenderedText".

/ree:[VALUE]

Valore che specifica quali eventi devono essere recapitati per la sottoscrizione. VALUE può essere true o false. Quando VALUE è true, tutti gli eventi esistenti vengono letti dalle origini eventi della sottoscrizione. Quando VALUE è false, vengono recapitati solo eventi futuri (in arrivo). Il valore predefinito è true quando /ree viene specificato senza un valore e il valore predefinito è false se /ree non è specificato.

/lf: FILENAME

Valore che specifica il registro eventi locale usato per archiviare gli eventi ricevuti dalla sottoscrizione dell'evento.

/pn: PUBLISHER

Valore che specifica il nome dell'editore di eventi (provider). Deve essere un server di pubblicazione proprietario o importa il log specificato dal parametro /lf.

/dm: MODALITÀ

Valore che specifica la modalità di recapito della sottoscrizione. LA MODALITÀ può essere push o pull. Questa opzione è valida solo se il parametro /cm è impostato su Personalizzato.

/dmi: NUMBER

Valore che specifica il numero massimo di elementi per il recapito in batch nella sottoscrizione dell'evento. Questa opzione è valida solo se il parametro /cm è impostato su Personalizzato.

/dmlt: MS

Valore che specifica la latenza massima consentita nel recapito di un batch di eventi. MS è il numero di millisecondi consentiti. Questo parametro è valido solo se il parametro /cm è impostato su Personalizzato.

/hi: MS

Valore che specifica l'intervallo heartbeat per la sottoscrizione. MS è il numero di millisecondi usati nell'intervallo. Questo parametro è valido solo se il parametro /cm è impostato su Personalizzato.

/tn: TRANSPORTNAME

Valore che specifica il nome del trasporto usato per connettersi al computer dell'origine eventi remoto.

/esa: EVENT_SOURCE

Valore che specifica l'indirizzo di un computer di origine evento. EVENT_SOURCE è una stringa che identifica un computer di origine eventi usando il nome di dominio completo per il computer, il nome NetBIOS o l'indirizzo IP. Questo parametro può essere usato con i parametri /ese, /aes, /res o /un e /up.

/ese: VALUE

Valore che determina se abilitare o disabilitare un'origine evento. VALUE può essere true o false. Il valore predefinito è true, che abilita l'origine evento. Questo parametro viene usato solo se viene usato il parametro /esa.

/Aes

Valore che aggiunge l'origine evento specificata dal parametro /esa se l'origine evento non fa già parte della sottoscrizione dell'evento. Se il computer specificato dal parametro /esa è già una parte della sottoscrizione, viene visualizzato un errore. Questo parametro è consentito solo se viene usato il parametro /esa.

/Res

Valore che rimuove l'origine evento specificata dal parametro /esa se l'origine evento fa già parte della sottoscrizione dell'evento. Se il computer specificato dal parametro /esa non fa parte della sottoscrizione, viene visualizzato un errore. Questo parametro è consentito solo se viene usato il parametro /esa.

/un: NOME UTENTE

Valore che specifica il nome utente usato nelle credenziali per connettersi all'origine evento specificata nel parametro /esa. Questo parametro è consentito solo se viene usato il parametro /esa.

/up: PASSWORD

Valore che specifica la password per il nome utente specificato nel parametro /un. Il nome utente e le credenziali password vengono usati per connettersi all'origine evento specificata nel parametro /esa. Questo parametro è consentito solo se viene usato il parametro /un.

/tp: TRANSPORTPORT

Valore che specifica il numero di porta utilizzato dal trasporto durante la connessione a un computer di origine eventi remoto.

/hn: NAME

Valore che specifica il nome DNS del computer locale. Questo nome viene usato dalle origini eventi remote per eseguire il push degli eventi e deve essere usato solo per le sottoscrizioni push.

/ct: TYPE

Valore che specifica il tipo di credenziale utilizzato per l'accesso alle origini eventi remote. TYPE può essere "default", "negotiate", "digest", "basic" o "localmachine". Il valore predefinito è "default". Questi valori sono definiti nell'enumerazione EC_SUBSCRIPTION_CREDENTIALS_TYPE .

/cun: NOME UTENTE

Valore che imposta le credenziali utente condivise usate per le origini eventi che non hanno le proprie credenziali utente.

Nota

Se questo parametro viene usato con l'opzione /c, vengono ignorate le impostazioni nome utente e password per le singole origini eventi dal file di configurazione. Se si desidera usare credenziali diverse per un'origine evento specifica, è possibile eseguire l'override di questo valore specificando i parametri /un e /up per un'origine evento specifica nella riga di comando di un altro comando set-subscription.

/cup: PASSWORD

Valore che imposta la password utente per le credenziali utente condivise. Quando password è impostata su * (asterisco), la password viene letto dalla console. Questa opzione è valida solo quando viene specificato il parametro /cun.

/ica: IDENTIFICAZIONI PERSONALI

Valore che imposta l'elenco delle stampe personali del certificato dell'autorità di certificazione, in un elenco delimitato da virgole.

Nota

Questa opzione è specifica solo per le sottoscrizioni avviate dall'origine.

/as: CONSENTITO

Valore che imposta un elenco delimitato da virgole di stringa che specifica i nomi DNS di computer non di dominio autorizzati ad avviare le sottoscrizioni. I nomi possono essere specificati usando caratteri jolly, ad esempio "*.mydomain.com". Per impostazione predefinita, tale elenco è vuoto.

Nota

Questa opzione è specifica solo per le sottoscrizioni avviate dall'origine.

/ds: NEGATO

Valore che imposta un elenco delimitato da virgole di stringa che specifica i nomi DNS di computer non di dominio non autorizzati ad avviare le sottoscrizioni. I nomi possono essere specificati usando caratteri jolly, ad esempio "*.mydomain.com". Per impostazione predefinita, tale elenco è vuoto.

Nota

Questa opzione è specifica solo per le sottoscrizioni avviate dall'origine.

/adc: SDDL

Valore che imposta una stringa, in formato SDDL, che specifica quali computer di dominio sono consentiti o meno per avviare le sottoscrizioni. Il valore predefinito è consentire a tutti i computer di dominio di avviare le sottoscrizioni.

Nota

Questa opzione è specifica solo per le sottoscrizioni avviate dall'origine.

Creare una nuova sottoscrizione

La sintassi seguente viene usata per creare una sottoscrizione evento per gli eventi in un computer remoto.

wecutil {cs | create-subscription } CONFIGURATION_FILE [/cun:USERNAME]
[/cup:PASSWORD]

Commenti

Quando viene specificato un nome utente o una password non corretti nel comando wecutil cs , non viene segnalato alcun errore finché non viene visualizzato lo stato di runtime della sottoscrizione usando il comando wecutil gr .

Parametri di creazione

CONFIGURATION_FILE

Valore che specifica il percorso del file XML contenente le informazioni di configurazione della sottoscrizione. Il percorso può essere assoluto o relativo alla directory corrente.

Il codice XML seguente è un esempio di file di configurazione della sottoscrizione che crea una sottoscrizione avviata dall'agente di raccolta per inoltrare gli eventi dal registro eventi dell'applicazione di un computer remoto al log ForwardedEvents.

<Subscription xmlns="http://schemas.microsoft.com/2006/03/windows/events/subscription">
    <SubscriptionId>SampleCISubscription</SubscriptionId>
    <SubscriptionType>CollectorInitiated</SubscriptionType>
    <Description>Collector Initiated Subscription Sample</Description>
    <Enabled>true</Enabled>
    <Uri>http://schemas.microsoft.com/wbem/wsman/1/windows/EventLog</Uri>

    <!-- Use Normal (default), Custom, MinLatency, MinBandwidth -->
    <ConfigurationMode>Custom</ConfigurationMode>

    <Delivery Mode="Push">
        <Batching>
            <MaxItems>20</MaxItems>
            <MaxLatencyTime>60000</MaxLatencyTime>
        </Batching>
        <PushSettings>
            <HostName>thisMachine.myDomain.com</HostName>
            <Heartbeat Interval="60000"/>
        </PushSettings>
    </Delivery>

    <Expires>2010-01-01T00:00:00.000Z</Expires>

    <Query>
        <![CDATA[
            <QueryList>
                <Query Path="Application">
                    <Select>*</Select>
                </Query>
            </QueryList>
        ]]>
    </Query>

    <ReadExistingEvents>false</ReadExistingEvents>
    <TransportName>http</TransportName>
    <ContentFormat>RenderedText</ContentFormat>
    <Locale Language="en-US"/>
    <LogFile>ForwardedEvents</LogFile>
    <CredentialsType>Default</CredentialsType>

    <EventSources>
        <EventSource Enabled="true">
            <Address>mySource.myDomain.com</Address>
            <UserName>myUserName</UserName>
        </EventSource>
    </EventSources>
</Subscription>

Il codice XML seguente è un esempio di file di configurazione della sottoscrizione che crea una sottoscrizione avviata dall'origine per inoltrare gli eventi dal registro eventi dell'applicazione di un computer remoto al log ForwardedEvents.

<Subscription xmlns="http://schemas.microsoft.com/2006/03/windows/events/subscription">
    <SubscriptionId>SampleSISubscription</SubscriptionId>
    <SubscriptionType>SourceInitiated</SubscriptionType>
    <Description>Source Initiated Subscription Sample</Description>
    <Enabled>true</Enabled>
    <Uri>http://schemas.microsoft.com/wbem/wsman/1/windows/EventLog</Uri>

    <!-- Use Normal (default), Custom, MinLatency, MinBandwidth -->
    <ConfigurationMode>Custom</ConfigurationMode>

    <Delivery Mode="Push">
        <Batching>
            <MaxItems>1</MaxItems>
            <MaxLatencyTime>1000</MaxLatencyTime>
        </Batching>
        <PushSettings>
            <Heartbeat Interval="60000"/>
        </PushSettings>
    </Delivery>

    <Expires>2018-01-01T00:00:00.000Z</Expires>

    <Query>
        <![CDATA[
            <QueryList>
                <Query Path="Application">
                    <Select>Event[System/EventID='999']</Select>
                </Query>
            </QueryList>
        ]]>
    </Query>

    <ReadExistingEvents>true</ReadExistingEvents>
    <TransportName>http</TransportName>
    <ContentFormat>RenderedText</ContentFormat>
    <Locale Language="en-US"/>
    <LogFile>ForwardedEvents</LogFile>
    <AllowedSourceNonDomainComputers></AllowedSourceNonDomainComputers>
    <AllowedSourceDomainComputers>O:NSG:NSD:(A;;GA;;;DC)(A;;GA;;;NS)</AllowedSourceDomainComputers>
</Subscription>

Nota

Quando si crea una sottoscrizione avviata dall'origine, se AllowedSourceDomainComputers, AllowedSourceNonDomainComputers/IssuerCAList, AllowedSubjectList e DeniedSubjectList sono tutti vuoti, verrà fornito un valore predefinito per AllowedSourceDomainComputers - "O:NSG:NSD:(A;; GA;;;D C)(A;; GA;;; NS)". Questa impostazione predefinita SDDL concede ai membri del gruppo di dominio Domain Computers, nonché al gruppo di servizi di rete locale (per l'inoltro locale), la possibilità di generare eventi per questa sottoscrizione.

/cun: NOME UTENTE

Valore che imposta le credenziali utente condivise usate per le origini eventi che non hanno le proprie credenziali utente. Questo valore si applica solo alle sottoscrizioni avviate dall'agente di raccolta.

Nota

Se questo parametro viene specificato, vengono ignorate le impostazioni nome utente e password per le singole origini eventi dal file di configurazione. Se si desidera usare credenziali diverse per un'origine evento specifica, è possibile eseguire l'override di questo valore specificando i parametri /un e /up per un'origine evento specifica nella riga di comando di un altro comando set-subscription.

/cup: PASSWORD

Valore che imposta la password utente per le credenziali utente condivise. Quando password è impostata su "*" (asterisco), la password viene letto dalla console. Questa opzione è valida solo quando viene specificato il parametro /cun.

Eliminare una sottoscrizione

La sintassi seguente viene usata per eliminare una sottoscrizione di eventi.

wecutil { ds | delete-subscription } SUBSCRIPTION_ID

Parametri di eliminazione

SUBSCRIPTION_ID

Stringa che identifica in modo univoco una sottoscrizione. Questo identificatore viene specificato nell'elemento SubscriptionId nel file di configurazione XML usato per creare la sottoscrizione. La sottoscrizione identificata in questo parametro verrà eliminata.

Riprovare una sottoscrizione

La sintassi seguente viene usata per ripetere un tentativo di sottoscrizione inattiva tentando di riattivare tutte le origini eventi o specificate creando una connessione a ogni origine evento e inviando una richiesta di sottoscrizione remota all'origine evento. Le origini eventi disabilitate non vengono riprovate.

wecutil { rs | retry-subscription } SUBSCRIPTION_ID 
[EVENT_SOURCE [EVENT_SOURCE] ...]

Parametri di ripetizione dei tentativi

SUBSCRIPTION_ID

Stringa che identifica in modo univoco una sottoscrizione. Questo identificatore viene specificato nell'elemento SubscriptionId nel file di configurazione XML usato per creare la sottoscrizione. La sottoscrizione identificata in questo parametro verrà riprovata.

EVENT_SOURCE

Valore che identifica un computer che è un'origine evento per una sottoscrizione di eventi. Questo valore può essere il nome di dominio completo per il computer, il nome NetBIOS o l'indirizzo IP.

Configurare il servizio agente di raccolta eventi di Windows

La sintassi seguente viene usata per configurare il servizio Agente di raccolta eventi di Windows per garantire che le sottoscrizioni degli eventi possano essere create e sostenute tramite i riavvii del computer. Include la procedura seguente:

Per configurare il servizio Agente di raccolta eventi di Windows

  1. Attivare il canale ForwardedEvents se è disabilitato.
  2. Ritardare l'inizio del servizio Agente di raccolta eventi di Windows.
  3. Se non è in esecuzione, avviare il servizio Raccolta eventi Windows.
wecutil { qc | quick-config } /q:VALUE

Configurare i parametri dell'agente di raccolta eventi

/q: VALUE

Valore che determina se il comando quick-config richiederà la conferma. VALUE può essere true o false. Se VALUE è true, il comando richiederà la conferma. Il valore predefinito è false.

Requisiti

Requisito Valore
Client minimo supportato
 Windows Vista
Server minimo supportato
 Windows Server 2008