wecutil
使用该命令可创建和管理从远程计算机转发的事件的订阅。 远程计算机必须支持 WS-Management 协议。
重要
如果收到“RPC 服务器不可用?”消息,则在尝试运行 wecutil 时,需要启动 windows 事件收集器服务 (wecsvc)。 若要启动 wecsvc,请在提升的命令提示符下键入 net start wecsvc。
语法
wecutil [{es | enum-subscription}] [{gs | get-subscription} <Subid> [/f:<Format>] [/uni:<Unicode>]] [{gr | get-subscriptionruntimestatus} <Subid> [<Eventsource> …]] [{ss | set-subscription} [<Subid> [/e:[<Subenabled>]] [/esa:<Address>] [/ese:[<Srcenabled>]] [/aes] [/res] [/un:<Username>] [/up:<Password>] [/d:<Desc>] [/uri:<Uri>] [/cm:<Configmode>] [/ex:<Expires>] [/q:<Query>] [/dia:<Dialect>] [/tn:<Transportname>] [/tp:<Transportport>] [/dm:<Deliverymode>] [/dmi:<Deliverymax>] [/dmlt:<Deliverytime>] [/hi:<Heartbeat>] [/cf:<Content>] [/l:<Locale>] [/ree:[<Readexist>]] [/lf:<Logfile>] [/pn:<Publishername>] [/essp:<Enableport>] [/hn:<Hostname>] [/ct:<Type>]] [/c:<Configfile> [/cun:<Username> /cup:<Password>]]] [{cs | create-subscription} <Configfile> [/cun:<Username> /cup:<Password>]] [{ds | delete-subscription} <Subid>] [{rs | retry-subscription} <Subid> [<Eventsource>…]] [{qc | quick-config} [/q:[<quiet>]]]
参数
| 参数 | 说明 |
|---|---|
{es | enum-subscription} |
显示存在的所有远程事件订阅的名称。 |
{gs | get-subscription} <Subid> [/f:<Format>] [/uni:<Unicode>] |
显示远程订阅配置信息。 <Subid> 是唯一标识订阅的字符串。 它与用于创建订阅的 XML 配置文件的 <SubscriptionId> 标记中指定的字符串相同。 |
{gr | get-subscriptionruntimestatus} <Subid> [<Eventsource> …] |
显示订阅的运行时状态。 <Subid> 是唯一标识订阅的字符串。 它与用于创建订阅的 XML 配置文件的 <SubscriptionId> 标记中指定的字符串相同。 <Eventsource> 是一个字符串,用于标识充当事件源的计算机。 它应该是一个完全限定的域名、NetBIOS 名称或 IP 地址。 |
{ss | set-subscription} <Subid> [/e:[<Subenabled>]] [/esa:<Address>] [/ese:[<Srcenabled>]] [/aes] [/res] [/un:<Username>] [/up:<Password>] [/d:<Desc>] [/uri:<Uri>] [/cm:<Configmode>] [/ex:<Expires>] [/q:<Query>] [/dia:<Dialect>] [/tn:<Transportname>] [/tp:<Transportport>] [/dm:<Deliverymode>] [/dmi:<Deliverymax>] [/dmlt:<Deliverytime>] [/hi:<Heartbeat>] [/cf:<Content>] [/l:<Locale>] [/ree:[<Readexist>]] [/lf:<Logfile>] [/pn:<Publishername>] [/essp:<Enableport>] [/hn:<Hostname>] [/ct:<Type>] OR {ss | set-subscription /c:<Configfile> [/cun:<Comusername> /cup:<Compassword>] |
更改订阅配置。 可指定订阅 ID 和相应的选项来更改订阅参数,也可以指定 XML 配置文件来更改订阅参数。 |
{cs | create-subscription} <Configfile> [/cun:<Username> /cup:<Password>] |
创建远程订阅。 <Configfile> 指定包含订阅配置的 XML 文件的路径。 该路径可以是当前目录的绝对路径或相对路径。 |
{ds | delete-subscription} <Subid> |
删除订阅并取消订阅所有事件源,其中这些事件源将事件传递到订阅的事件日志中。 不会删除已接收和记录的任何事件。 <Subid> 是唯一标识订阅的字符串。 它与用于创建订阅的 XML 配置文件的 <SubscriptionId> 标记中指定的字符串相同。 |
{rs | retry-subscription} <Subid> [<Eventsource>…] |
重试以建立连接,并将远程订阅请求发送到非活动订阅。 尝试重新激活所有事件源或指定的事件源。 不会重试禁用的源。 <Subid> 是唯一标识订阅的字符串。 它与用于创建订阅的 XML 配置文件的 <SubscriptionId> 标记中指定的字符串相同。 <Eventsource> 是一个字符串,用于标识充当事件源的计算机。 它应该是一个完全限定的域名、NetBIOS 名称或 IP 地址。 |
{qc | quick-config} [/q:[<Quiet>]] |
配置 Windows 事件收集器服务,确保可通过重启来创建和维持订阅。 这包括以下步骤:
|
选项
| 选项 | 说明 |
|---|---|
/f:<Format> |
指定所显示的信息的格式。 <Format> 可以是 XML 或 Terse。 如果是 XML,则输出以 XML 格式显示。 如果是 Terse,则输出以名称/值对的形式显示。 默认值为 Terse。 |
/c:<Configfile> |
指定包含订阅配置的 XML 文件的路径。 该路径可以是当前目录的绝对路径或相对路径。 此选项只能与 /cun 和 /cup 选项一起使用,并且与所有其他选项互斥。 |
/e:[<Subenabled>] |
启用或禁用订阅。 <Subenabled> 可以为 true 或 false。 此选项的默认值为 true。 |
/esa:<Address> |
指定事件源的地址。 <Address> 是一个字符串,其中包含完全限定的域名、NetBIOS 名称或 IP 地址,用于标识充当事件源的计算机。 此选项应与 /ese、/aes、/res,或者与 /un 和 /up 选项一起使用。 |
/ese:[<Srcenabled>] |
启用或禁用事件源。 <Srcenabled> 可以为 true 或 false。 只有在指定了 /esa 选项时才可使用此选项。 此选项的默认值为 true。 |
| /aes | 添加 /esa 选项指定的事件源(如果它还不是订阅的一部分)。 如果 /esa 选项指定的地址已经是订阅的一部分,则会报告错误。 仅在指定了 /esa 选项时才可使用此选项。 |
| /res | 移除 /esa 选项指定的事件源(如果它已经是订阅的一部分)。 如果 /esa 选项指定的地址不是订阅的一部分,则会报告错误。 仅在指定了 /esa 选项时才可使用此选项。 |
/un:<Username> |
指定要与 /esa 选项指定的事件源一起使用的用户凭据。 仅在指定了 /esa 选项时才可使用此选项。 |
/up:<Password> |
指定与用户凭据对应的密码。 仅在指定了 /un 选项时才可使用此选项。 |
/d:<Desc> |
提供订阅的说明。 |
/uri:<Uri> |
指定订阅使用的事件的类型。 <Uri> 包含一个 URI 字符串,该字符串与事件源计算机的地址组合,以唯一标识事件的源。 该 URI 字符串用于订阅中的所有事件源地址。 |
/cm:<Configmode> |
设置配置模式。 <Configmode> 可以是以下字符串之一:Normal、Custom、MinLatency 或 MinBandwidth。 Normal、MinLatency 和 MinBandwidth 模式设置传送模式、传递最大项目数、检测信号间隔和传送最大延迟时间。 仅当配置模式设置为“Custom”时,才能指定 /dm、/dmi、/hi 或 /dmlt 选项。 |
/ex:<Expires> |
设置订阅过期的时间。 <Expires> 应采用标准 XML 或 ISO8601 日期时间格式进行定义:yyyy-MM-ddThh:mm:ss[.sss][Z],其中 T 是时间分隔符,Z 表示 UTC 时间。 |
/q:<Query> |
指定订阅的查询字符串。 对于不同的 URI 值,<Query> 的格式可能不同,它适用于订阅中的所有源。 |
/dia:<Dialect> |
定义查询字符串使用的方言。 |
/tn:<Transportname> |
指定用于连接到远程事件源的传输的名称。 |
/tp:<Transportport> |
设置连接到远程事件源时传输使用的端口号。 |
/dm:<Deliverymode> |
指定传递模式。 <Deliverymode> 可以是“拉取”或“推送”。 仅当 /cm 选项设置为“Custom”时,此选项才有效。 |
/dmi:<Deliverymax> |
设置批处理传递的最大项数。 仅当 /cm 设置为 “Custom”时,此选项才有效。 |
/dmlt:<Deliverytime> |
设置传递一批事件时的最大延迟。 <Deliverytime> 是毫秒数。 仅当 /cm 设置为 “Custom”时,此选项才有效。 |
/hi:<Heartbeat> |
定义检测信号间隔。 <Heartbeat> 是毫秒数。 仅当 /cm 设置为 “Custom”时,此选项才有效。 |
/cf:<Content> |
指定返回的事件的格式。 <Content> 可以是 Events 或 RenderedText。 如果值为 RenderedText,则事件将与附加到事件的本地化字符串(例如事件说明)一起返回。 默认值为 RenderedText。 |
/l:<Locale> |
指定用于以 RenderedText 格式传递本地化字符串的区域设置。 <Locale> 是语言和国家/地区标识符,例如 EN-us。 仅当 /cf 选项设置为“RenderedText”时,此选项才有效。 |
/ree:[<Readexist>] |
标识为订阅传递的事件。 <Readexist> 可以为 true 或 false。 如果 <Readexist> 为 true,则从订阅事件源读取所有现有事件。 如果 <Readexist> 为 false,则仅传递未来(到达的)事件。 对于不带值的 /ree 选项,默认值为 true。 如果未指定 /ree 选项,则默认值为 false。 |
/lf:<Logfile> |
指定用于存储从事件源接收的事件的本地事件日志。 |
/pn:<Publishername> |
指定发布者名称。 它必须是拥有或导入 /lf 选项指定的日志的发布者。 |
/essp:<Enableport> |
指定端口号必须追加到远程服务的服务主体名称。 <Enableport> 可以为 true 或 false。 当 <Enableport> 为 true 时,会追加端口号。 追加端口号时,可能需要一些配置来防止对事件源的访问遭到拒绝。 |
/hn:<Hostname> |
指定本地计算机的 DNS 名称。 远程事件源使用此名称来推送回事件,并且它必须仅用于推送订阅。 |
/ct:<Type> |
设置远程源访问的凭据类型。 <Type> 应为以下值之一:default、negotiate、digest、basic 或 localmachine。 默认值为 default。 |
/cun:<Comusername> |
设置要用于没有自带用户凭据的事件源的共享用户凭据。 如果使用 /c 选项指定此选项,则会忽略配置文件中各个事件源的 UserName 和 UserPassword 设置。 如果要对特定事件源使用其他凭据,应通过在另一个 ss 命令的命令行上为特定事件源指定 /un 和 /up 选项来替代此值。 |
/cup:<Compassword> |
设置共享用户凭据的用户密码。 当 <Compassword> 设置为 *(星号)时,将从控制台读取密码。 仅当指定了 /cun 选项时,此选项才有效。 |
/q:[<Quiet>] |
指定配置过程是否提示进行确认。 <Quiet> 可以为 true 或 false。 如果 <Quiet> 为 true,则配置过程不会提示进行确认。 此选项的默认值为 false。 |
示例
要显示配置文件的内容,请键入:
<Subscription xmlns=https://schemas.microsoft.com/2006/03/windows/events/subscription>
<Uri>https://schemas.microsoft.com/wbem/wsman/1/windows/EventLog</Uri>
<!-- Use Normal (default), Custom, MinLatency, MinBandwidth -->
<ConfigurationMode>Normal</ConfigurationMode>
<Description>Forward Sample Subscription</Description>
<SubscriptionId>SampleSubscription</SubscriptionId>
<Query><![CDATA[
<QueryList>
<Query Path=Application>
<Select>*</Select>
</Query>
</QueryList>]]
</Query>
<EventSources>
<EventSource Enabled=true>
<Address>mySource.myDomain.com</Address>
<UserName>myUserName</UserName>
<Password>*</Password>
</EventSource>
</EventSources>
<CredentialsType>Default</CredentialsType>
<Locale Language=EN-US></Locale>
</Subscription>
要查看名为 sub1 的订阅的输出配置信息,请键入:
wecutil gs sub1
示例输出:
EventSource[0]:
Address: localhost
Enabled: true
Description: Subscription 1
Uri: wsman:microsoft/logrecord/sel
DeliveryMode: pull
DeliveryMaxSize: 16000
DeliveryMaxItems: 15
DeliveryMaxLatencyTime: 1000
HeartbeatInterval: 10000
Locale:
ContentFormat: renderedtext
LogFile: HardwareEvents
要显示名为 sub1 的订阅的运行时状态,请键入:
wecutil gr sub1
要从名为 WsSelRg2.xml 的新 XML 文件更新 sub1 订阅配置,请键入:
wecutil ss sub1 /c:%Windir%system32WsSelRg2.xml
要使用多个参数更新名为 sub2 的订阅配置,请键入:
wecutil ss sub2 /esa:myComputer /ese /un:uname /up:* /cm:Normal
要删除名为 sub1 的订阅,请键入:
wecutil ds sub1