WMI: Art Anfrage für WMI-QL Ereignisklasse Definition: Session_Reconnected, Workstation_locked, Screensaver_invozed

Question

Möchten Sie bitte das WMI-QL überprüfen oder den richtigen MSDN-Bereich oder die WMI-Man-Seite teilen, um diese folgende WMI-Ereignisklasse-QL-Definitionen zu suchen?

Setup mit Win7 Laptop mit aktiviertem WMI-LAPTOP mit aktiviertem WMI und Arbeiten für viele WMI-QL für Systeminformationen.

WMI Event-ID-Befehl Erwartete Antwort

generasacodicetagpre.

==

Ich habe bereits WMI-Referenz , jedoch nicht in der richtigen Klassenkategorie nicht null nicht null.

==

Ich bekomme immer noch keine Antwort von WMIC-Befehl für die folgenden Befehle, während die verbleibenden Befehle positive Antwort ergeben.

Nach sieben leeren Antwort WMI-QL-Befehlen, von denen jeder sofort immer zurückgegeben wurde:

.

1. $ WMIC -U Domain / Benutzername% Kennwort // NT-IP-ADDR "SELECT * aus Win32_NTLogEvent, wo EVENTCODE= '4778'".
   $

2. $ WMIC -U Domain / Benutzername% Kennwort // NT-IP-ADDR "Select * von Win32_ntlogEvent, wo EVENTCODE= '4779' ' $

3. $ WMIC -U Domain / Benutzername% Passwort // NT-IP-ADDR "Wählen Sie * aus Win32_NTLogEvent, wo EVENTCODE= '4780' ' $

4. $ WMIC -U Domain / Benutzername% Kennwort // NT-IP-ADDR "Select * aus Win32_NTLOGEVENT bei EVENTCODE= '4800'" $

5. $ WMIC -U Domain / Benutzername% Passwort // NT-IP-ADDR "Select * aus Win32_ntlogEvent, wo EVENTCODE= '4801' ' $

6. $ WMIC -U Domain / Benutzername% Passwort // NT-IP-ADDR "Select * aus Win32_NTLogEvent, wo EVENTCODE= '4802'" $

7. $ WMIC -U Domain / Benutzername% Kennwort // NT-IP-ADDR "Select * aus Win32_NTLogEvent, wo EVENTCODE= '4803' ' $

Die Frage zeigt an: Ob wir uns explizit an jeder WMI-Event-Klasse explizit abonnieren / registrieren müssen, nur für diese oben über sieben Ereignisse? oder für diese Ereignisse fehlen alle anderen Konfigurationseinstellungen? Alle Tipps / Tipps wären sehr geschätzt.

==

Vielen Dank im Voraus.

Answer 1

Bitte beachten Sie den MSDN-Link: [Win32_ntlogEvent-Klasse] ( http://msdn.microsoft.com/de-us/library/aa394226 (v= vs.85) .aspx # Eigenschaften ).

Erhalten Sie so, wie Sie die Query "512/4608-Startup" erhalten, können Sie den WMIC-Befehl ausführen: "Select * aus Win32_STARTUPPommand"

Klasse: win32_startupcommand

caption | Befehl | Beschreibung | Lage | Name | Einsteller | Benutzer | UserID

Sidebar |% programmfiles% \ Windows Sidebar \ Sidebar.exe / Autorun | Sidebar | HKU \ S-1-5-19 \ Software \ Microsoft \ Windows \ CurrentVersion \ RUN | Sidebar | (NULL) | NT Authority \ LocalService | S-1-5-19

...

Ähnlich, um den Ereigniscode 4800 zu erhalten, können Sie auch den genauen WMIC-Befehl ausführen:

WMIC -U Domäne / Benutzername% Passwort // NT-IP-ADDR "SELECT * aus Win32_NTLOGEVENT bei EVENTCODE= '4800'".

WMI / WMIC-Experten da draußen, bitte überprüfen / korrigieren, wenn irgendetwas modifiziert werden muss.