WMI: запрос вида для определения класса событий WMI-QL: SESSION_RECONNECTED, WORKSTATION_LOCKED, SCREENSAVER_INVOKED

Пожалуйста, просмотрите WMI-QL или поделитесь правильным разделом MSDN или справочной страницей WMI, чтобы найти следующие определения QL класса событий WMI?

Установка с использованием ноутбука Win7 с включенным WMI и работающей для многих WMI-QL информации о системе.

WMI EVENT-ID КОМАНДА ОЖИДАЕТСЯ ОТВЕТА

N/A / 4778  SESSION_RECONNECTED      ??
N/A / 4779  SESSION_DISCONNECTED     ??
N/A / 4800  WORKSTATION_LOCKED       ??
*   / 4801  WORKSTATION_UNLOCKED     ??
N/A / 4802  SCREENSAVER_INVOKED      ??
N/A / 4803  SCREENSAVER_DISMISSED    ??

==

Я уже исследовал WMI Reference, но не смог обнулить правильную категорию классов.

==

Я все еще не получаю никакого ответа от команды WMIC для следующих команд, в то время как остальные команды дают положительный ответ.

После команд WMI-QL Seven Empty Response, каждая из которых всегда возвращалась немедленно:

  1. $ wmic -U Домен / имя пользователя% пароль //nt-ip-addr "select * from Win32_NTLogEvent, где EventCode = '4778'".
    $

  2. $ wmic -U Домен / имя пользователя% пароль //nt-ip-addr "select * from Win32_NTLogEvent, где EventCode = '4779'" $

  3. $ wmic -U Домен / имя пользователя% пароль //nt-ip-addr "select * from Win32_NTLogEvent где EventCode = '4780'" $

  4. $ wmic -U Домен / имя пользователя% пароль //nt-ip-addr "select * from Win32_NTLogEvent где EventCode = '4800'" $

  5. $ wmic -U Домен / имя пользователя% пароль //nt-ip-addr "select * from Win32_NTLogEvent, где EventCode = '4801'" $

  6. $ wmic -U Домен / имя пользователя% пароль //nt-ip-addr "select * from Win32_NTLogEvent где EventCode = '4802'" $

  7. $ wmic -U Домен / имя пользователя% пароль //nt-ip-addr "select * from Win32_NTLogEvent, где EventCode = '4803'" $

Вопрос указывает на: Нужно ли нам явно подписываться / регистрироваться на какой-либо класс событий WMI явно только для этих выше семи событий? или какие-либо другие параметры конфигурации отсутствуют для этих событий? Любые советы / подсказки будут высоко оценены.

==

Заранее спасибо.

1 ответ

Решение

Пожалуйста, обратитесь к ссылке MSDN: [класс Win32_NTLogEvent] ( http://msdn.microsoft.com/en-us/library/aa394226(v=vs.85).aspx).

Как и для запроса "512 / 4608 STARTUP", вы можете запустить команду WMIC: "select * from Win32_StartupCommand"

КЛАСС: Win32_StartupCommand

Надпись | Команда | Описание | Местонахождение | Имя |SettingID| Пользователь |UserSID

Боковая панель |%ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun| Боковая панель |HKU\S-1-5-19\ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ \Microsoft\Windows\CurrentVersion\Run| Боковая панель |(пусто) | NT AUTHORITY \ LOCAL SERVICE | S -1-5-19

...

Аналогично, чтобы получить код события 4800, вы также можете выполнить точную команду WMIC:

wmic -U Домен / имя пользователя% пароль //nt-ip-addr "select * from Win32_NTLogEvent, где EventCode = '4800'".

Эксперты WMI/WMIC, пожалуйста, просмотрите / исправьте, если что-то нужно изменить.

Другие вопросы по тегам