WMI: Solicitud amable de WMI-QL Clase de eventos Definición: session_reconnected, workstation_locked, screensaver_invoked

Question

¿Podría revisar el WMI-QL o compartir la sección MSDN correcta o la página de WMI Man para buscar estas siguientes definiciones de Clase QL de la clase WMI?

CONFIGURACIÓN UTILIZANDO LA COMPUTADORA PORTÁTIL WIN7 con WMI habilitado y trabajando para muchos WMI-QL para información del sistema.

Comando de ID de evento de WMI Respuesta esperada

N/A / 4778  SESSION_RECONNECTED      ??
N/A / 4779  SESSION_DISCONNECTED     ??
N/A / 4800  WORKSTATION_LOCKED       ??
*   / 4801  WORKSTATION_UNLOCKED     ??
N/A / 4802  SCREENSAVER_INVOKED      ??
N/A / 4803  SCREENSAVER_DISMISSED    ??

==

Ya he explorado Referencia de WMI , sin embargo, no puede cero en la categoría de clase correcta.

==

Yo mismo aún no recibe ninguna respuesta del comando wmic para los siguientes comandos, mientras que los comandos restantes están dando una respuesta positiva.

Siguiendo siete comandos WMI-QL de respuesta vacía, cada uno de los cuales regresó inmediatamente:

1. $ wmic -u dominio / username% contraseña // NT-IP-IP-Addr "Seleccionar * de win32_ntlogevent donde eventcode= '4778'".
   $

2. $ wmic -u dominio / nombre de usuario% contraseña // NT-IP-IP-ADDR "Seleccionar * de win32_ntlogevent donde eventcode= '4779'" $

3. $ wmic -u dominio / nombre de usuario% contraseña // NT-IP-IP-ADDR "Seleccionar * de Win32_NTLOGEVENT donde Eventcode= '4780'" $

4. $ wmic -u dominio / nombre de usuario% contraseña // NT-IP-IP-ADDR "Seleccionar * de win32_ntlogevent donde eventcode= '4800'" $

5. $ wmic -u dominio / nombre de usuario% contraseña // NT-IP-IP-Addr "Seleccionar * de win32_ntlogevent donde eventcode= '4801'" $

6. $ wmic -u dominio / nombre de usuario% contraseña // NT-IP-IP-ADDR "Seleccione * de Win32_NTLOGEVENT donde Eventcode= '4802'" $

7. $ wmic -u dominio / nombre de usuario% contraseña // NT-IP-IP-ADDR "Seleccionar * de win32_ntlogevent donde eventcode= '4803'" $

Los puntos de la pregunta a: ¿Si necesitamos suscribirte / registrarse explícitamente en cualquier clase de evento de WMI explícitamente solo para estos siete eventos anteriores? ¿O falta alguna configuración de configuración para estos eventos? Cualquier consejo / sugerencias sería muy apreciado.

==

gracias de antemano.

Answer 1

Consulte el enlace MSDN: [Win32_NTLOGEGEGS CLASE] ( http://msdn.microsoft.com/en-us/library/aa394226 (v= vs.85) .aspx # Properties ).

Me gusta obtener la consulta "512/4608 Startup", puede ejecutar WMIC Command: "Select * de win32_startupcommand"

Clase: win32_startupcommand

Puntotion | Commando | Descripción | Ubicación | Nombre | Configuración | Usuario | UserSid

barra lateral |% ProgramFiles% \ Windows Sidebar \ Sidebar.exe / Autorun | Barra lateral | HKU \ S-1-5-19 \ Software \ Microsoft \ Windows \ Currentversion \ Ejecutar | Sidebar | (NULL) | NT Autority \ LocalServicio | S-1-5-19

...

De manera similar, para obtener el código de evento 4800, también puede ejecutar el comando WMIC exacto:

wmic -u dominio / username% contraseña // NT-IP-IP-ADDR "Seleccione * de Win32_NTLOGEVENT donde Eventcode= '4800'".

Expertos de WMI / WMIC por ahí, revise / corrija, si es necesario modificarlo.