次の方法で共有

Wecutil.exe

Wecutil.exe は、管理者が、WS-Management プロトコルをサポートするリモート イベント ソースから転送されたイベントへのサブスクリプションを作成および管理できるようにする Windows イベント コレクター ユーティリティです。 このユーティリティでは、コマンド、オプション、およびオプションの値では大文字と小文字が区別されません。

wecutil を実行しようとしたときに "RPC サーバーは使用できません" または "インターフェイスが不明です" というメッセージが表示された場合は、Windows イベント コレクター サービス (wecsvc) を開始する必要があります。 wecsvc を起動するには、管理者特権のコマンド プロンプトで 「net start wecsvc」と入力します。

既存のサブスクリプションを一覧表示する

次の構文は、既存のリモート イベント サブスクリプションを一覧表示するために使用されます。

wecutil { es | enum-subscription }

スクリプトを使用して出力からサブスクリプションの名前を取得する場合は、出力の最初の行で UTF-8 BOM 文字をバイパスする必要があります。 次のスクリプトは、BOM 文字をスキップする方法の例を示しています。

setlocal enabledelayedexpansion

set bomskipped=
for /f %%i in ('wecutil es') do (
    set sub=%%i
    if not defined bomskipped (
        set sub=!sub:~3!
        set bomskipped=yes
    )
    echo !sub!
)
goto :eof

endlocal

サブスクリプション構成を取得する

リモート イベント サブスクリプションの構成データを表示するには、次の構文を使用します。

wecutil { gs | get-subscription } SUBSCRIPTION_ID [/f:VALUE 
[/u:VALUE] ...]

構成パラメーターの取得

SUBSCRIPTION_ID

サブスクリプションを一意に識別する文字列。 この識別子は、サブスクリプションの作成に使用される XML 構成ファイルの SubscriptionId 要素で指定されます。

/f:VALUE

サブスクリプション構成データの出力を指定する値。 VALUE には "XML" または "Terse" を指定でき、既定値は "Terse" です。 VALUE が "XML" の場合、出力は "XML" 形式で出力されます。 VALUE が "Terse" の場合、出力は名前と値のペアで出力されます。

/u: VALUE

出力が Unicode 形式かどうかを指定する値。 VALUE には、"true" または "false" を指定できます。 VALUE が "true" の場合、出力は Unicode 形式で、VALUE が "false" の場合、出力は Unicode 形式ではありません。

サブスクリプション ランタイムの状態を取得する

サブスクリプション ランタイムの状態を表示するには、次の構文を使用します。

wecutil { gr | get-subscriptionruntimestatus } SUBSCRIPTION_ID
 [EVENT_SOURCE [EVENT_SOURCE] ...]

状態パラメーターの取得

SUBSCRIPTION_ID

サブスクリプションを一意に識別する文字列。 この識別子は、サブスクリプションの作成に使用される XML 構成ファイルの SubscriptionId 要素で指定されます。

EVENT_SOURCE

イベント サブスクリプションのイベント ソースであるコンピューターを識別する値。 この値には、コンピューターの完全修飾ドメイン名、NetBIOS 名、または IP アドレスを指定できます。

サブスクリプション構成情報の設定

コマンド ラインからサブスクリプション パラメーターを変更するか、XML 構成ファイルを使用して、サブスクリプション構成データを設定するには、次の構文を使用します。

wecutil { ss | set_subscription } SUBSCRIPTION_ID [/e:VALUE] 
[/esa:EVENT_SOURCE [/ese:VALUE] [/aes] [/res] [/un:USERNAME] [/up:PASSWORD]] 
[/d:DESCRIPTION] [/uri:URI] [/cm:CONFIGURATION_MODE] [/ex:DATE_TIME] 
[/q:QUERY] [/dia:DIALECT] [/tn:TRANSPORTNAME] [/tp:TRANSPORTPORT] [/dm:MODE] 
[/dmi:NUMBER] [/dmlt:MS] [/hi:MS] [/cf:FORMAT] [/l:LOCALE] [/ree:[VALUE]] 
[/lf:FILENAME] [/pn:PUBLISHER] [/hn:NAME] [/ct:TYPE] 
[/cun:USERNAME] [/cup:PASSWORD] 
[/ica:THUMBPRINTS] [/as:ALLOWED] [/ds:DENIED] [/adc:SDDL]

wecutil {ss | set_subscription } /c:CONGIG_FILE [/cun:USERNAME] 
[/cup:PASSWORD]

注釈

wecutil ss コマンドで正しくないユーザー名またはパスワードが指定されている場合、wecutil gr コマンドを使用してサブスクリプションのランタイム状態を表示するまで、エラーは報告されません。

構成パラメーターの設定

SUBSCRIPTION_ID

サブスクリプションを一意に識別する文字列。 この識別子は、サブスクリプションの作成に使用される XML 構成ファイルの SubscriptionId 要素で指定されます。

/c: CONFIG_FILE

サブスクリプション構成情報を含む XML ファイルへのパスを指定する値。 パスは、絶対パスでも、現在のディレクトリに対する相対パスでもかまいません。 このパラメーターは、省略可能な /cus パラメーターと /cup パラメーターでのみ使用でき、他のすべてのパラメーターと相互に排他的です。

/e: VALUE

サブスクリプションを有効または無効にするかどうかを決定する値。 VALUE には true または false を指定できます。 既定値は true で、サブスクリプションが有効になります。

コレクターによって開始されたサブスクリプションを無効にすると、イベント ソースは無効ではなく非アクティブになります。 コレクターによって開始されたサブスクリプションでは、サブスクリプションとは無関係にイベント ソースを無効にすることができます。

/d: DESCRIPTION

イベント サブスクリプションの説明を指定する値。

/ex: DATE_TIME

サブスクリプションの有効期限を指定する値。 DATE_TIME は、標準 XML またはISO8601日時形式で指定された値です。"yyyy-MM-ddThh:mm:ss[.sss][Z]" ("T" は時刻区切り記号、"Z" は UTC 時刻を示します)。 たとえば、 DATE_TIME が "2007-01-12T01:20:00" の場合、サブスクリプションの有効期限は 2007 年 1 月 12 日 01:20 になります。

/uri: URI

サブスクリプションによって使用されるイベントの種類を指定する値。 イベント ソース コンピューターのアドレスと URI (Uniform Resource Identifier) は、イベントのソースを一意に識別します。 URI 文字列は、サブスクリプション内のすべてのイベント ソース アドレスに使用されます。

/cm: CONFIGURATION_MODE

イベント サブスクリプションの構成モードを指定する値。 CONFIGURATION_MODE には、"Normal"、"Custom"、"MinLatency"、または "MinBandwidth" のいずれかの文字列を指定できます。 EC_SUBSCRIPTION_CONFIGURATION_MODE列挙は、構成モードを定義します。 /dm、/dmi、/hi、および /dmlt パラメーターは、構成モードが Custom に設定されている場合にのみ指定できます。

/q: QUERY

サブスクリプションのクエリ文字列を指定する値。 この文字列の形式は、異なる URI 値に対して異なる場合があり、サブスクリプション内のすべてのイベント ソースに適用されます。

/dia: 方言

クエリ文字列が使用する方言を指定する値。

/cf: FORMAT

返されるイベントの形式を指定する値。 FORMAT には、"Events" または "RenderedText" を指定できます。 値が "RenderedText" の場合、イベントに関連付けられたローカライズされた文字列 (イベントの説明文字列など) でイベントが返されます。 FORMAT の既定値は "RenderedText" です。

/l: LOCALE

ローカライズされた文字列を、レンダリングされたテキスト形式で配信するためのロケールを指定する値。 LOCALE は、"EN-us" などの言語/国カルチャ識別子です。 このパラメーターは、/cf パラメーターが "RenderedText" に設定されている場合にのみ有効です。

/ree:[VALUE]

サブスクリプションに配信するイベントを指定する値。 VALUE には true または false を指定できます。 VALUE が true の場合、既存のすべてのイベントがサブスクリプション のイベント ソースから読み取られます。 VALUE が false の場合、将来 (到着) イベントのみが配信されます。 既定値は、/ree が値なしで指定されている場合は true、/ree が指定されていない場合は既定値は false です。

/lf: FILENAME

イベント サブスクリプションから受信したイベントを格納するために使用されるローカル イベント ログを指定する値。

/pn: PUBLISHER

イベント発行元 (プロバイダー) 名を指定する値。 /lf パラメーターで指定されたログを所有またはインポートするパブリッシャーである必要があります。

/dm: MODE

サブスクリプション配信モードを指定する値。 MODE には、プッシュまたはプルのいずれかを指定できます。 このオプションは、/cm パラメーターが Custom に設定されている場合にのみ有効です。

/dmi: NUMBER

イベント サブスクリプションでのバッチ配信のアイテムの最大数を指定する値。 このオプションは、/cm パラメーターが Custom に設定されている場合にのみ有効です。

/dmlt: MS

イベントのバッチ配信で許容される最大待機時間を指定する値。 MS は、許可されるミリ秒数です。 このパラメーターは、/cm パラメーターが Custom に設定されている場合にのみ有効です。

/hi: MS

サブスクリプションのハートビート間隔を指定する値。 MS は、間隔で使用されるミリ秒数です。 このパラメーターは、/cm パラメーターが Custom に設定されている場合にのみ有効です。

/tn: TRANSPORTNAME

リモート イベント ソース コンピューターへの接続に使用するトランスポートの名前を指定する値。

/esa: EVENT_SOURCE

イベント ソース コンピューターのアドレスを指定する値。 EVENT_SOURCE は、コンピューター、NetBIOS 名、または IP アドレスの完全修飾ドメイン名を使用して、イベント ソース コンピューターを識別する文字列です。 このパラメーターは、/ese、/aes、/res、または /un パラメーターおよび /up パラメーターと共に使用できます。

/ese: VALUE

イベント ソースを有効または無効にするかどうかを決定する値。 VALUE には true または false を指定できます。 既定値は true で、イベント ソースを有効にします。 このパラメーターは、/esa パラメーターが使用されている場合にのみ使用されます。

/aes

イベント ソースがまだイベント サブスクリプションに含まれていない場合に、/esa パラメーターで指定されたイベント ソースを追加する値。 /esa パラメーターで指定されたコンピューターが既にサブスクリプションの一部である場合は、エラーが表示されます。 このパラメーターは、/esa パラメーターが使用されている場合にのみ使用できます。

/解像 度

イベント ソースが既にイベント サブスクリプションの一部である場合、/esa パラメーターで指定されたイベント ソースを削除する値。 /esa パラメーターで指定されたコンピューターがサブスクリプションに含まれていない場合は、エラーが表示されます。 このパラメーターは、/esa パラメーターが使用されている場合にのみ使用できます。

/un: USERNAME

/esa パラメーターで指定されたイベント ソースに接続するために資格情報で使用されるユーザー名を指定する値。 このパラメーターは、/esa パラメーターが使用されている場合にのみ使用できます。

/up: PASSWORD

/un パラメーターで指定されたユーザー名のパスワードを指定する値。 ユーザー名とパスワードの資格情報は、/esa パラメーターで指定されたイベント ソースに接続するために使用されます。 このパラメーターは、/un パラメーターが使用されている場合にのみ使用できます。

/tp: TRANSPORTPORT

リモート イベント ソース コンピューターに接続するときにトランスポートによって使用されるポート番号を指定する値。

/hn: NAME

ローカル コンピューターの DNS 名を指定する値。 この名前は、イベントをプッシュ バックするためにリモート イベント ソースによって使用され、プッシュ サブスクリプションにのみ使用する必要があります。

/ct: TYPE

リモート イベント ソースへのアクセスに使用する資格情報の種類を指定する値。 TYPE には、"default"、"negotiate"、"digest"、"basic"、または "localmachine" を指定できます。 既定値は "default" です。 これらの値は、 EC_SUBSCRIPTION_CREDENTIALS_TYPE 列挙型で定義されます。

/cun: USERNAME

独自のユーザー資格情報を持たないイベント ソースに使用される共有ユーザー資格情報を設定する値。

このパラメーターを /c オプションと共に使用すると、構成ファイルの個々のイベント ソースのユーザー名とパスワードの設定は無視されます。 特定のイベント ソースに対して異なる資格情報を使用する場合は、別の set-subscription コマンドのコマンド ラインで特定のイベント ソースの /un パラメーターと /up パラメーターを指定することで、この値をオーバーライドできます。

/cup: PASSWORD

共有ユーザー資格情報のユーザー パスワードを設定する値。 PASSWORD が * (アスタリスク) に設定されている場合、パスワードはコンソールから読み取られます。 このオプションは、/cun パラメーターが指定されている場合にのみ有効です。

/ica: 拇印

発行者証明書の拇印の一覧をコンマ区切りリストに設定する値。

このオプションは、ソースが開始したサブスクリプションにのみ固有です。

/as: ALLOWED

サブスクリプションを開始できるドメイン以外のコンピューターの DNS 名を指定する文字列のコンマ区切りのリストを設定する値。 名前は、ワイルドカード ("*.mydomain.com" など) を使用して指定できます。 既定では、このリストは空です。

このオプションは、ソースが開始したサブスクリプションにのみ固有です。

/ds: DENIED

サブスクリプションの開始が許可されていないドメイン以外のコンピューターの DNS 名を指定する文字列のコンマ区切りリストを設定する値。 名前は、ワイルドカード ("*.mydomain.com" など) を使用して指定できます。 既定では、このリストは空です。

このオプションは、ソースが開始したサブスクリプションにのみ固有です。

/adc: SDDL

サブスクリプションの開始を許可または許可しないドメイン コンピューターを指定する、SDDL 形式の文字列を設定する値。 既定では、すべてのドメイン コンピューターがサブスクリプションを開始できるようにします。

このオプションは、ソースが開始したサブスクリプションにのみ固有です。

新しいサブスクリプションを作成する

次の構文は、リモート コンピューター上のイベントのイベント サブスクリプションを作成するために使用されます。

wecutil {cs | create-subscription } CONFIGURATION_FILE [/cun:USERNAME]
[/cup:PASSWORD]

注釈

wecutil cs コマンドで正しくないユーザー名またはパスワードが指定されている場合、wecutil gr コマンドを使用してサブスクリプションのランタイム状態を表示するまで、エラーは報告されません。

作成パラメーター

CONFIGURATION_FILE

サブスクリプション構成情報を含む XML ファイルへのパスを指定する値。 パスは、絶対パスでも、現在のディレクトリに対する相対パスでもかまいません。

次の XML は、リモート コンピューターのアプリケーション イベント ログから ForwardedEvents ログにイベントを転送するコレクターによって開始されるサブスクリプションを作成するサブスクリプション構成ファイルの例です。

<Subscription xmlns="http://schemas.microsoft.com/2006/03/windows/events/subscription">
    <SubscriptionId>SampleCISubscription</SubscriptionId>
    <SubscriptionType>CollectorInitiated</SubscriptionType>
    <Description>Collector Initiated Subscription Sample</Description>
    <Enabled>true</Enabled>
    <Uri>http://schemas.microsoft.com/wbem/wsman/1/windows/EventLog</Uri>

    <!-- Use Normal (default), Custom, MinLatency, MinBandwidth -->
    <ConfigurationMode>Custom</ConfigurationMode>

    <Delivery Mode="Push">
        <Batching>
            <MaxItems>20</MaxItems>
            <MaxLatencyTime>60000</MaxLatencyTime>
        </Batching>
        <PushSettings>
            <HostName>thisMachine.myDomain.com</HostName>
            <Heartbeat Interval="60000"/>
        </PushSettings>
    </Delivery>

    <Expires>2010-01-01T00:00:00.000Z</Expires>

    <Query>
        <![CDATA[
            <QueryList>
                <Query Path="Application">
                    <Select>*</Select>
                </Query>
            </QueryList>
        ]]>
    </Query>

    <ReadExistingEvents>false</ReadExistingEvents>
    <TransportName>http</TransportName>
    <ContentFormat>RenderedText</ContentFormat>
    <Locale Language="en-US"/>
    <LogFile>ForwardedEvents</LogFile>
    <CredentialsType>Default</CredentialsType>

    <EventSources>
        <EventSource Enabled="true">
            <Address>mySource.myDomain.com</Address>
            <UserName>myUserName</UserName>
        </EventSource>
    </EventSources>
</Subscription>

次の XML は、リモート コンピューターのアプリケーション イベント ログから ForwardedEvents ログにイベントを転送するソース開始サブスクリプションを作成するサブスクリプション構成ファイルの例です。

<Subscription xmlns="http://schemas.microsoft.com/2006/03/windows/events/subscription">
    <SubscriptionId>SampleSISubscription</SubscriptionId>
    <SubscriptionType>SourceInitiated</SubscriptionType>
    <Description>Source Initiated Subscription Sample</Description>
    <Enabled>true</Enabled>
    <Uri>http://schemas.microsoft.com/wbem/wsman/1/windows/EventLog</Uri>

    <!-- Use Normal (default), Custom, MinLatency, MinBandwidth -->
    <ConfigurationMode>Custom</ConfigurationMode>

    <Delivery Mode="Push">
        <Batching>
            <MaxItems>1</MaxItems>
            <MaxLatencyTime>1000</MaxLatencyTime>
        </Batching>
        <PushSettings>
            <Heartbeat Interval="60000"/>
        </PushSettings>
    </Delivery>

    <Expires>2018-01-01T00:00:00.000Z</Expires>

    <Query>
        <![CDATA[
            <QueryList>
                <Query Path="Application">
                    <Select>Event[System/EventID='999']</Select>
                </Query>
            </QueryList>
        ]]>
    </Query>

    <ReadExistingEvents>true</ReadExistingEvents>
    <TransportName>http</TransportName>
    <ContentFormat>RenderedText</ContentFormat>
    <Locale Language="en-US"/>
    <LogFile>ForwardedEvents</LogFile>
    <AllowedSourceNonDomainComputers></AllowedSourceNonDomainComputers>
    <AllowedSourceDomainComputers>O:NSG:NSD:(A;;GA;;;DC)(A;;GA;;;NS)</AllowedSourceDomainComputers>
</Subscription>

ソース開始サブスクリプションを作成するときに、 AllowedSourceDomainComputersAllowedSourceNonDomainComputers/IssuerCAListAllowedSubjectListDeniedSubjectList がすべて空の場合、 AllowedSourceDomainComputers - "O:NSG:NSD:(A;;ジョージア 州;;;DC)(A;;ジョージア 州;;;NS)"。 この SDDL の既定では、ドメイン コンピューター ドメイン グループのメンバーとローカル ネットワーク サービス グループ (ローカル フォワーダーの場合) に、このサブスクリプションのイベントを発生させる機能が付与されます。

/cun: USERNAME

独自のユーザー資格情報を持たないイベント ソースに使用される共有ユーザー資格情報を設定する値。 この値は、コレクターが開始したサブスクリプションにのみ適用されます。

このパラメーターを指定すると、構成ファイルの個々のイベント ソースのユーザー名とパスワードの設定は無視されます。 特定のイベント ソースに対して異なる資格情報を使用する場合は、別の set-subscription コマンドのコマンド ラインで特定のイベント ソースの /un パラメーターと /up パラメーターを指定することで、この値をオーバーライドできます。

/cup: PASSWORD

共有ユーザー資格情報のユーザー パスワードを設定する値。 PASSWORD が "*" (アスタリスク) に設定されている場合、パスワードはコンソールから読み取られます。 このオプションは、/cun パラメーターが指定されている場合にのみ有効です。

サブスクリプションを削除する

イベント サブスクリプションを削除するには、次の構文を使用します。

wecutil { ds | delete-subscription } SUBSCRIPTION_ID

削除パラメーター

SUBSCRIPTION_ID

サブスクリプションを一意に識別する文字列。 この識別子は、サブスクリプションの作成に使用される XML 構成ファイルの SubscriptionId 要素で指定されます。 このパラメーターで識別されたサブスクリプションは削除されます。

サブスクリプションを再試行する

次の構文は、各イベント ソースへの接続を確立し、リモート サブスクリプション要求をイベント ソースに送信することによって、すべてのイベント ソースまたは指定されたイベント ソースを再アクティブ化することによって、非アクティブなサブスクリプションを再試行するために使用されます。 無効なイベント ソースは再試行されません。

wecutil { rs | retry-subscription } SUBSCRIPTION_ID 
[EVENT_SOURCE [EVENT_SOURCE] ...]

再試行パラメーター

SUBSCRIPTION_ID

サブスクリプションを一意に識別する文字列。 この識別子は、サブスクリプションの作成に使用される XML 構成ファイルの SubscriptionId 要素で指定されます。 このパラメーターで識別されたサブスクリプションが再試行されます。

EVENT_SOURCE

イベント サブスクリプションのイベント ソースであるコンピューターを識別する値。 この値には、コンピューターの完全修飾ドメイン名、NetBIOS 名、または IP アドレスを指定できます。

Windows イベント コレクター サービスの構成

次の構文を使用して、Windows イベント コレクター サービスを構成し、コンピューターの再起動によってイベント サブスクリプションを作成して維持できるようにします。 これには、次の手順が含まれます。

Windows イベント コレクター サービスを構成するには

  1. ForwardedEvents チャネルが無効になっている場合は有効にします。
  2. Windows イベント コレクター サービスの開始を遅らせる。
  3. Windows イベント コレクター サービスが実行されていない場合は起動します。
wecutil { qc | quick-config } /q:VALUE

イベント コレクター パラメーターの構成

/q: VALUE

クイック構成コマンドで確認を求めるメッセージを表示するかどうかを決定する値。 VALUE には true または false を指定できます。 VALUE が true の場合、コマンドは確認を求めます。 既定値は false です。

Requirements

Requirement 価値
サポートされている最小のクライアント
 Windows Vista
サポートされている最小のサーバー
 Windows Server 2008
  • Last updated on