WMI: запрос вида для определения класса событий WMI-QL: SESSION_RECONNECTED, WORKSTATION_LOCKED, SCREENSAVER_INVOKED
Пожалуйста, просмотрите WMI-QL или поделитесь правильным разделом MSDN или справочной страницей WMI, чтобы найти следующие определения QL класса событий WMI?
Установка с использованием ноутбука Win7 с включенным WMI и работающей для многих WMI-QL информации о системе.
WMI EVENT-ID КОМАНДА ОЖИДАЕТСЯ ОТВЕТА
N/A / 4778 SESSION_RECONNECTED ??
N/A / 4779 SESSION_DISCONNECTED ??
N/A / 4800 WORKSTATION_LOCKED ??
* / 4801 WORKSTATION_UNLOCKED ??
N/A / 4802 SCREENSAVER_INVOKED ??
N/A / 4803 SCREENSAVER_DISMISSED ??
==
Я уже исследовал WMI Reference, но не смог обнулить правильную категорию классов.
==
Я все еще не получаю никакого ответа от команды WMIC для следующих команд, в то время как остальные команды дают положительный ответ.
После команд WMI-QL Seven Empty Response, каждая из которых всегда возвращалась немедленно:
$ wmic -U Домен / имя пользователя% пароль //nt-ip-addr "select * from Win32_NTLogEvent, где EventCode = '4778'".
$$ wmic -U Домен / имя пользователя% пароль //nt-ip-addr "select * from Win32_NTLogEvent, где EventCode = '4779'" $
$ wmic -U Домен / имя пользователя% пароль //nt-ip-addr "select * from Win32_NTLogEvent где EventCode = '4780'" $
$ wmic -U Домен / имя пользователя% пароль //nt-ip-addr "select * from Win32_NTLogEvent где EventCode = '4800'" $
$ wmic -U Домен / имя пользователя% пароль //nt-ip-addr "select * from Win32_NTLogEvent, где EventCode = '4801'" $
$ wmic -U Домен / имя пользователя% пароль //nt-ip-addr "select * from Win32_NTLogEvent где EventCode = '4802'" $
$ wmic -U Домен / имя пользователя% пароль //nt-ip-addr "select * from Win32_NTLogEvent, где EventCode = '4803'" $
Вопрос указывает на: Нужно ли нам явно подписываться / регистрироваться на какой-либо класс событий WMI явно только для этих выше семи событий? или какие-либо другие параметры конфигурации отсутствуют для этих событий? Любые советы / подсказки будут высоко оценены.
==
Заранее спасибо.
1 ответ
Пожалуйста, обратитесь к ссылке MSDN: [класс Win32_NTLogEvent] ( http://msdn.microsoft.com/en-us/library/aa394226(v=vs.85).aspx).
Как и для запроса "512 / 4608 STARTUP", вы можете запустить команду WMIC: "select * from Win32_StartupCommand"
КЛАСС: Win32_StartupCommand
Надпись | Команда | Описание | Местонахождение | Имя |SettingID| Пользователь |UserSID
Боковая панель |%ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun| Боковая панель |HKU\S-1-5-19\ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ \Microsoft\Windows\CurrentVersion\Run| Боковая панель |(пусто) | NT AUTHORITY \ LOCAL SERVICE | S -1-5-19
...
Аналогично, чтобы получить код события 4800, вы также можете выполнить точную команду WMIC:
wmic -U Домен / имя пользователя% пароль //nt-ip-addr "select * from Win32_NTLogEvent, где EventCode = '4800'".
Эксперты WMI/WMIC, пожалуйста, просмотрите / исправьте, если что-то нужно изменить.