[記事公開日]2025/10/30
🧩 wecutilコマンドの使い方|Windowsイベント転送(WEC)の設定と管理方法
もくじ
はじめに
複数のWindows端末のイベントログを一元管理したい場合、Windows Event Collector(WEC) 機能が役立ちます。
そのWECの設定・制御を行うのが wecutilコマンド です。
イベント転送サーバーを構築する際や、セキュリティ監査ログを集中管理したいときに不可欠な管理ツールです。
この記事では、wecutil コマンドの概要、主要オプション、実践的な使用例をわかりやすく解説します。
🛠 wecutilコマンドとは?
| 項目 | 内容 |
|---|---|
| 役割 | Windowsイベント転送(WEC)の設定・管理を行う |
| 用途 | イベントサブスクリプションの作成・確認・削除 |
| 特徴 | GUIなしでWECサーバーの管理が可能 |
wecutil は、Windows Event Collector サービスを制御するための管理コマンドであり、イベントログ転送のサーバー(collector)側設定をコマンドラインから構築できます。
📌 基本構文
wecutil [オプション]
💡 主なオプション一覧
| オプション | 説明 |
|---|---|
qc |
イベントコレクターの構成を初期化または確認 |
gr <サブスクリプション名> |
サブスクリプションの状態を表示 |
ss <サブスクリプション名> |
サブスクリプションを有効または無効化 |
es <サブスクリプション名> |
サブスクリプションの状態を取得 |
gs |
サーバー設定の一覧を取得 |
cs <XMLファイル> |
新しいサブスクリプションをXMLで作成 |
ds <サブスクリプション名> |
サブスクリプションを削除 |
im <ファイル> |
イベント設定をインポート |
em <ファイル> |
設定をエクスポート |
💡 主な使用例
| 操作内容 | コマンド例 | 説明 |
|---|---|---|
| コレクターの構成確認 | wecutil qc |
WECのサービス構成を確認し、未設定なら初期化 |
| サブスクリプション一覧の表示 | wecutil gs |
登録済みサブスクリプションの状態を確認 |
| 特定サブスクリプションを有効化 | wecutil ss MySubscription /e:true |
指定サブスクリプションを有効化 |
| 新規サブスクリプション作成 | wecutil cs C:\config\subscription.xml |
XML定義をもとにサブスクリプションを追加 |
| サブスクリプション削除 | wecutil ds MySubscription |
不要になったサブスクリプションを削除 |
| 設定をエクスポート | wecutil em backup.xml |
現在のWEC構成をバックアップ |
| 設定をインポート | wecutil im backup.xml |
保存した構成を復元 |
⚙️ 応用的な使い方
1️⃣ イベント転送サーバーの初期構成
wecutil qc
このコマンドで必要なサービス(Event Collector)が有効化され、ファイアウォール設定も自動構成されます。
初回構築時には必ず実行しておきましょう。
2️⃣ XMLサブスクリプションの作成例
以下のXMLファイルを作成し、C:\config\security.xml として保存:
<Subscription xmlns="http://schemas.microsoft.com/2006/03/windows/events/subscription">
<SubscriptionId>SecurityLogForward</SubscriptionId>
<Description>セキュリティログを集中管理サーバーへ転送</Description>
<Uri>http://schemas.microsoft.com/wbem/wsman/1/windows/EventCollector</Uri>
<ConfigurationMode>Normal</ConfigurationMode>
<Query>
<Select Path="Security">*</Select>
</Query>
</Subscription>
この定義を登録するには:
wecutil cs C:\config\security.xml
これで、クライアントPCからセキュリティイベントを収集できるようになります。
3️⃣ イベント転送サービスの状態確認
wecutil gr SecurityLogForward
サブスクリプションのステータスを確認し、正常にデータが転送されているかをチェックします。
⚠️ 注意点
| 注意点 | 説明 |
|---|---|
| 管理者権限が必要 | サービス構成・サブスクリプション変更には昇格権限が必要 |
| ファイアウォール設定に依存 | WEC通信(ポート5985/5986)がブロックされると失敗する |
| XML記述ミスに注意 | 構成ファイルの形式エラーでサブスクリプション作成が失敗する |
| WECサービスが有効であること | Windows Event Collector サービスが停止していると機能しない |
📊 まとめ表
| 操作内容 | コマンド例 | 説明 |
|---|---|---|
| 初期構成 | wecutil qc |
イベントコレクターをセットアップ |
| サブスクリプション作成 | wecutil cs config.xml |
XML設定で新規登録 |
| サブスクリプション削除 | wecutil ds Name |
指定項目を削除 |
| 状態確認 | wecutil gr Name |
登録状態・統計を表示 |
| バックアップ | wecutil em backup.xml |
設定をエクスポート |
🔗 関連記事
-
⚙️ wevtutilコマンドでイベントログを管理する方法
-
🧠 eventvwrコマンドでイベントビューアを開く方法
-
💽 logmanコマンドでパフォーマンスログを収集する方法
-
🧩 winrmコマンドでリモート通信設定を行う方法
➡️ 同カテゴリ記事リスト
- ❌ taskkillコマンドの使い方|Windowsで実行中タスクを強制終了する方法
- ⚙️ taskmgrコマンドの使い方|タスクマネージャを起動して動作状況を確認する方法
- ⚙️ services.mscコマンドの使い方|Windowsサービスを管理・制御する方法
- ⚙️ sc queryコマンドの使い方|Windowsサービスの状態を確認する方法
- ⚙️ lodctr/unlodctrコマンドの使い方|パフォーマンスカウンタの再登録・修復方法
- ⚙️ fltmcコマンドの使い方|フィルタドライバの管理と診断に役立つコマンド
- ⚙️ bcdbootコマンドの使い方|ブート構成データ(BCD)を修復・再構築する方法
- 🪟 slmgrコマンドの使い方|Windowsライセンスの確認・認証・管理を行う方法
- 🧾 reagentcコマンドの使い方|Windows回復環境(WinRE)の有効化・設定方法
- 🧩 wecutilコマンドの使い方|Windowsイベント転送(WEC)の設定と管理方法
さいごに
wecutil コマンドは、Windows環境で複数PCのイベントを集中管理するための中核ツールです。
サーバー監査、セキュリティ対策、障害解析などにおいて、WECの自動構成・確認を効率化できます。
特に大規模ネットワーク環境では、wecutil を使いこなすことでログ管理の品質と効率が大幅に向上します。
