WMI：适用于WMI-QL事件类定义的类型请求：session_reconnected，workstation_locked，screensaver_invoked

Question

您是否会查看WMI-QL或共享正确的MSDN部分或WMI手册页，以了解以下WMI事件类QL定义：

使用Win7笔记本电脑使用WMI启用并为系统信息的许多WMI-QL工作。

WMI Event-ID命令预期响应

N/A / 4778  SESSION_RECONNECTED      ??
N/A / 4779  SESSION_DISCONNECTED     ??
N/A / 4800  WORKSTATION_LOCKED       ??
*   / 4801  WORKSTATION_UNLOCKED     ??
N/A / 4802  SCREENSAVER_INVOKED      ??
N/A / 4803  SCREENSAVER_DISMISSED    ??

.

==

我已经探索了 wmi参考，但是无法归零 - 在正确的类别类别中。

==

我自己仍然没有从WMIC命令中获得任何响应，同时剩下的命令是提供积极的响应。

以下七个空响应wmi-ql命令，每个命令都立即返回：

1. $ wmic -u域/ username％password // nt-ip-addr“从win32_ntlogevent中选择*，其中eventcode='4778'”。
   $

2. $ wmic -u域/用户名％password // nt-ip-addr“select * from win32_ntlogevent，其中eventcode='4779'' $

3. $ wmic -u域/ username％password // nt-ip-addr“select * from win32_ntlogevent，其中eventcode='4780'' $

4. $ wmic -u域/ username％password // nt-ip-addr“select * from win32_ntlogevent，其中eventcode='4800'' $

5. $ wmic -u域/ username％password // nt-ip-addr“select * from win32_ntlogevent，其中eventcode='4801'” $

6. $ wmic -u域/ username％password // nt-ip-addr“select * from win32_ntlogevent，其中eventcode='4802'” $

7. $ wmic -u域/ username％password // nt-ip-addr“select * from win32_ntlogevent，其中eventcode='4803'” $

问题要点：我们是否需要明确地明确地订阅/注册任何WMI事件类，仅在七个事件上仅明确订阅任何WMI事件类？或这些事件缺少任何其他配置设置？任何提示/提示都将受到高度赞赏。

==

提前感谢。

Answer 1

请参考msdn链接：[win32_ntlogevent类]（ http://msdn.microsoft.com/en-us/library/aa394226（v= vs.85）.aspx＃属性）。

要获取“512/4608启动”查询，可以运行wmic命令：“从win32_startupcommand选择*

类：win32_startupcommand

caption |命令|描述|位置|名称| arketId |用户|用户| Usersid

侧栏|％programfiles％\ windows侧栏\ sidebar.exe / autorun |边栏| HKU \ S-1-5-19 \ Software \ Microsoft \ Windows \ CurrentVersion \ Run | SideBar |（NULL）| NT权限\本地服务| S-1-5-19

...

同样，要获取事件代码4800，还可以运行精确的WMIC命令：

wmic -u域/用户名％password // nt-ip-addr“从win32_ntlogevent选择*，其中eventcode='4800'”。

WMI / WMIC专家在那里，如果需要修改任何东西，请查看/更正。