wecutil
Permite que você crie e gerencie assinaturas de eventos que são encaminhados de computadores remotos. O computador remoto deve dar suporte ao protocolo WS-Management.
Importante
Se você receber a mensagem "O servidor RPC não está disponível?” ao tentar executar o wecutil, você precisa iniciar o serviço de coletor de eventos do Windows (wecsvc). Para iniciar o wecsvc, digite net start wecsvc
em um prompt de comando com privilégios elevados.
Sintaxe
wecutil [{es | enum-subscription}] [{gs | get-subscription} <Subid> [/f:<Format>] [/uni:<Unicode>]] [{gr | get-subscriptionruntimestatus} <Subid> [<Eventsource> …]] [{ss | set-subscription} [<Subid> [/e:[<Subenabled>]] [/esa:<Address>] [/ese:[<Srcenabled>]] [/aes] [/res] [/un:<Username>] [/up:<Password>] [/d:<Desc>] [/uri:<Uri>] [/cm:<Configmode>] [/ex:<Expires>] [/q:<Query>] [/dia:<Dialect>] [/tn:<Transportname>] [/tp:<Transportport>] [/dm:<Deliverymode>] [/dmi:<Deliverymax>] [/dmlt:<Deliverytime>] [/hi:<Heartbeat>] [/cf:<Content>] [/l:<Locale>] [/ree:[<Readexist>]] [/lf:<Logfile>] [/pn:<Publishername>] [/essp:<Enableport>] [/hn:<Hostname>] [/ct:<Type>]] [/c:<Configfile> [/cun:<Username> /cup:<Password>]]] [{cs | create-subscription} <Configfile> [/cun:<Username> /cup:<Password>]] [{ds | delete-subscription} <Subid>] [{rs | retry-subscription} <Subid> [<Eventsource>…]] [{qc | quick-config} [/q:[<quiet>]]]
Parâmetros
Parâmetro | Descrição |
---|---|
{es | enum-subscription} |
Exibe os nomes de todas as assinaturas de evento remoto que existem. |
{gs | get-subscription} <Subid> [/f:<Format>] [/uni:<Unicode>] |
Exibe informações de configuração da assinatura remota. <Subid> é uma cadeia de caracteres que identifica exclusivamente uma assinatura. É o mesmo que a cadeia de caracteres especificada na marca <SubscriptionId> do arquivo de configuração XML, que foi usada para criar a assinatura. |
{gr | get-subscriptionruntimestatus} <Subid> [<Eventsource> …] |
Exibe o status de runtime de uma assinatura. <Subid> é uma cadeia de caracteres que identifica exclusivamente uma assinatura. É o mesmo que a cadeia de caracteres especificada na marca <SubscriptionId> do arquivo de configuração XML que foi usada para criar a assinatura. <Eventsource> é uma cadeia de caracteres que identifica um computador que serve como uma fonte de eventos. Deve ser um nome de domínio totalmente qualificado, um nome NetBIOS ou endereço IP. |
{ss | set-subscription} <Subid> [/e:[<Subenabled>]] [/esa:<Address>] [/ese:[<Srcenabled>]] [/aes] [/res] [/un:<Username>] [/up:<Password>] [/d:<Desc>] [/uri:<Uri>] [/cm:<Configmode>] [/ex:<Expires>] [/q:<Query>] [/dia:<Dialect>] [/tn:<Transportname>] [/tp:<Transportport>] [/dm:<Deliverymode>] [/dmi:<Deliverymax>] [/dmlt:<Deliverytime>] [/hi:<Heartbeat>] [/cf:<Content>] [/l:<Locale>] [/ree:[<Readexist>]] [/lf:<Logfile>] [/pn:<Publishername>] [/essp:<Enableport>] [/hn:<Hostname>] [/ct:<Type>] OR {ss | set-subscription /c:<Configfile> [/cun:<Comusername> /cup:<Compassword>] |
Altera a configuração da assinatura. Você pode especificar a ID da assinatura e as opções apropriadas para alterar os parâmetros da assinatura, ou você pode especificar um arquivo de configuração XML para alterar os parâmetros de assinatura. |
{cs | create-subscription} <Configfile> [/cun:<Username> /cup:<Password>] |
Cria uma assinatura remota. <Configfile> especifica o caminho para o arquivo XML que contém a configuração da assinatura. O caminho pode ser absoluto ou relativo ao diretório atual. |
{ds | delete-subscription} <Subid> |
Exclui uma assinatura e cancela a inscrição em todas as fontes de eventos que fornecem eventos para o log de eventos da assinatura. Todos os eventos já recebidos e registrados não são excluídos. <Subid> é uma cadeia de caracteres que identifica exclusivamente uma assinatura. É o mesmo que a cadeia de caracteres especificada na marca <SubscriptionId> do arquivo de configuração XML que foi usada para criar a assinatura. |
{rs | retry-subscription} <Subid> [<Eventsource>…] |
Tenta estabelecer uma conexão e enviar uma solicitação de assinatura remota para uma assinatura inativa. Tenta reativar todas as fontes de evento ou fontes de evento especificadas. Não se repete tentativas para fontes desabilitadas. <Subid> é uma cadeia de caracteres que identifica exclusivamente uma assinatura. É o mesmo que a cadeia de caracteres especificada na marca <SubscriptionId> do arquivo de configuração XML que foi usada para criar a assinatura. <Eventsource> é uma cadeia de caracteres que identifica um computador que serve como uma fonte de eventos. Deve ser um nome de domínio totalmente qualificado, um nome NetBIOS ou endereço IP. |
{qc | quick-config} [/q:[<Quiet>]] |
Configura o serviço Coletor de Eventos do Windows para garantir que uma assinatura possa ser criada e sustentada por meio de reinicializações. Isso inclui as seguintes etapas:
|
Opções
Opção | Descrição |
---|---|
/f:<Format> |
Especifica o formato das informações exibidas. <Format> pode ser XML ou Terse. Se for XML, a saída será exibida no formato XML. Se for Terse, a saída será exibida em pares nome-valor. O padrão é Terse. |
/c:<Configfile> |
Especifica o caminho para o arquivo XML que contém uma configuração de assinatura. O caminho pode ser absoluto ou relativo ao diretório atual. Essa opção só pode ser usada com as opções /cun e /cup e é mutuamente exclusiva com todas as outras opções. |
/e:[<Subenabled> ] |
Habilita ou desabilita uma assinatura. <Subenabled> deve ser true ou false. O valor padrão desta opção é true. |
/esa:<Address> |
Especifica o endereço de uma fonte de evento. <Address> é uma cadeia de caracteres que contém um nome de domínio totalmente qualificado, um nome NetBIOS ou um endereço IP, que identifica um computador que serve como uma fonte de eventos. Essa opção deve ser usada com as opções /ese, /aes, /res ou /un e /up. |
/ese:[<Srcenabled> ] |
Habilita ou desabilita uma fonte de evento. <Srcenabled> deve ser true ou false. Essa opção somente é permitida se a opção /esa estiver especificada. O valor padrão desta opção é true. |
/aes | Adiciona a origem do evento especificada pela opção /esa se ela ainda não fizer parte da assinatura. Se o endereço especificado pela opção /esa já fizer parte da assinatura, um erro será relatado. Essa opção somente é permitida se a opção /esa estiver especificada. |
/res | Remove a origem do evento especificada pela opção /esa se ela já fizer parte da assinatura. Se o endereço especificado pela opção /esa não fizer parte da assinatura, um erro será relatado. Essa opção somente é permitida se a opção /esa estiver especificada. |
/un:<Username> |
Especifica a credencial de usuário a ser usada com a origem do evento especificada pela opção /esa. Essa opção somente é permitida se a opção /esa estiver especificada. |
/up:<Password> |
Especifica a senha que corresponde à credencial do usuário. Essa opção somente é permitida se a opção /un estiver especificada. |
/d:<Desc> |
Fornece uma descrição para a assinatura. |
/uri:<Uri> |
Especifica o tipo de eventos que são consumidos pela assinatura. <Uri> contém uma cadeia de caracteres de URI combinada com o endereço do computador de origem do evento para identificar exclusivamente a origem dos eventos. A cadeia de caracteres de URI é usada para todos os endereços de origem do evento na assinatura. |
/cm:<Configmode> |
Define o modo de configuração. <Configmode> pode ser uma das seguintes cadeias de caracteres: Normal, Personalizado, MinLatency ou MinBandwidth. Os modos Normal, MinLatency e MinBandwidth definem o modo de entrega, o máximo de itens de entrega, o intervalo de pulsação e o tempo máximo de latência de entrega. As opções /dm, /dmi, /hi ou /dmlt só poderão ser especificadas se o modo de configuração estiver definido como Personalizado. |
/ex:<Expires> |
Define o momento em que a assinatura expira. <Expires> deve ser definido no formato de data/hora padrão XML ou ISO8601: yyyy-MM-ddThh:mm:ss[.sss][Z] , em que T é o separador de hora e Z indica hora UTC. |
/q:<Query> |
Especifica a cadeia de caracteres de consulta para a assinatura. O formato de <Query> pode ser diferente para valores de URI diferentes e se aplica a todas as fontes na assinatura. |
/dia:<Dialect> |
Define o dialeto que a cadeia de caracteres de consulta usa. |
/tn:<Transportname> |
Especifica o nome do transporte usado para se conectar a uma origem de evento remoto. |
/tp:<Transportport> |
Define o número da porta que é usado pelo transporte ao se conectar a uma origem de evento remoto. |
/dm:<Deliverymode> |
Especifica o modo de entrega. <Deliverymode> pode ser pull ou push. Essa opção só será válida se a opção /cm estiver definida como Personalizada. |
/dmi:<Deliverymax> |
Define o número máximo de itens para entrega em lote. Essa opção só será válida se /cm estiver definido como Personalizado. |
/dmlt:<Deliverytime> |
Define a latência máxima na entrega de um lote de eventos. <Deliverytime> é o número de milissegundos. Essa opção só será válida se /cm estiver definido como Personalizado. |
/hi:<Heartbeat> |
Altera o intervalo de pulsação. <Heartbeat> é o número de milissegundos. Essa opção só será válida se /cm estiver definido como Personalizado. |
/cf:<Content> |
Especifica o formato dos eventos retornados. <Content> pode ser Events ou RenderedText. Quando o valor é RenderedText, os eventos são retornados com as cadeias de caracteres localizadas (como a descrição do evento) anexadas ao evento. O valor padrão é RenderedText. |
/l:<Locale> |
Especifica a localidade para entrega das cadeias de caracteres localizadas no formato RenderedText. <Locale> é um identificador de idioma e país/região, por exemplo, EN-us. Essa opção só será válida se a opção /cf estiver definida como RenderedText. |
/ree:[<Readexist> ] |
Identifica os eventos que são entregues para a assinatura. <Readexist> pode ser true ou false. Quando o <Readexist> é true, todos os eventos existentes são lidos das fontes de evento de assinatura. Quando o <Readexist> é false, somente eventos futuros (chegando) são entregues. O valor padrão é true para uma opção /ree sem um valor. Se nenhuma opção /ree for especificada, o valor padrão será false. |
/lf:<Logfile> |
Especifica o log de eventos local usado para armazenar eventos recebidos das origens do evento. |
/pn:<Publishername> |
Especifica o nome do editor. Ele deve ser um editor que possui ou importa o log especificado pela opção /lf. |
/essp:<Enableport> |
Especifica que o número da porta deve ser acrescentado ao nome da entidade de serviço do serviço remoto. <Enableport> deve ser true ou false. O número da porta é acrescentado quando <Enableport> for true. Quando o número da porta é acrescentado, algumas configurações podem ser necessárias para impedir que o acesso a fontes de eventos seja negado. |
/hn:<Hostname> |
Especifica o nome DNS do computador local. Esse nome é usado pela origem do evento remoto para efetuar push de eventos e deve ser usado apenas para uma assinatura push. |
/ct:<Type> |
Define o tipo de credencial para o acesso de origem remoto. <Type> deve ser um dos seguintes valores: default, negotiate, digest, basic ou localmachine. O valor padrão é default. |
/cun:<Comusername> |
Define a credencial de usuário compartilhado a ser usada para fontes de eventos que não têm suas próprias credenciais de usuário. Se essa opção for especificada com a opção /c, as configurações UserName e UserPassword para fontes de eventos individuais do arquivo de configuração serão ignoradas. Se você quiser usar uma credencial diferente para uma origem de evento específica, substitua esse valor especificando as opções /un e /up para uma origem de evento específica na linha de comando de outro comando ss. |
/cup:<Compassword> |
Define a senha do usuário para a credencial de usuário compartilhado. Quando <Compassword> é definido como * (asterisco), a senha é lida no console. Essa opção somente é válida quando a opção /cun for especificada. |
/q:[<Quiet> ] |
Especifica se o procedimento de configuração solicita confirmação. <Quiet> deve ser true ou false. Se <Quiet> for true, o procedimento de configuração não solicitará confirmação. O valor padrão desta opção é false. |
Exemplos
Para mostrar o conteúdo de um arquivo de configuração, digite:
<Subscription xmlns=https://schemas.microsoft.com/2006/03/windows/events/subscription>
<Uri>https://schemas.microsoft.com/wbem/wsman/1/windows/EventLog</Uri>
<!-- Use Normal (default), Custom, MinLatency, MinBandwidth -->
<ConfigurationMode>Normal</ConfigurationMode>
<Description>Forward Sample Subscription</Description>
<SubscriptionId>SampleSubscription</SubscriptionId>
<Query><![CDATA[
<QueryList>
<Query Path=Application>
<Select>*</Select>
</Query>
</QueryList>]]
</Query>
<EventSources>
<EventSource Enabled=true>
<Address>mySource.myDomain.com</Address>
<UserName>myUserName</UserName>
<Password>*</Password>
</EventSource>
</EventSources>
<CredentialsType>Default</CredentialsType>
<Locale Language=EN-US></Locale>
</Subscription>
Para exibir as informações de configuração de saída de uma assinatura chamada sub1, digite:
wecutil gs sub1
Saída de exemplo:
EventSource[0]:
Address: localhost
Enabled: true
Description: Subscription 1
Uri: wsman:microsoft/logrecord/sel
DeliveryMode: pull
DeliveryMaxSize: 16000
DeliveryMaxItems: 15
DeliveryMaxLatencyTime: 1000
HeartbeatInterval: 10000
Locale:
ContentFormat: renderedtext
LogFile: HardwareEvents
Para exibir o status de runtime de uma assinatura chamada sub1, digite:
wecutil gr sub1
Para atualizar a configuração de assinatura chamada sub1 de um novo arquivo XML chamado WsSelRg2.xml, digite:
wecutil ss sub1 /c:%Windir%system32WsSelRg2.xml
Para atualizar a configuração de assinatura chamada sub2 com vários parâmetros, digite:
wecutil ss sub2 /esa:myComputer /ese /un:uname /up:* /cm:Normal
Para excluir uma assinatura chamada sub1, digite:
wecutil ds sub1