WMI:Gentile richiesta per la definizione della classe evento WMI-QL:SESSION_RECONNECTED, WORKSTATION_LOCKED, SCREENSAVER_INVOKED

Question

Potresti rivedere WMI-QL o condividere la sezione MSDN corretta o la pagina man WMI per cercare le seguenti definizioni QL della classe evento WMI?

Configurazione utilizzando un laptop Win7 con WMI abilitato e funzionante con molti WMI-QL per informazioni di sistema.

RISPOSTA PREVISTA COMANDO EVENT-ID WMI

N/A / 4778  SESSION_RECONNECTED      ??
N/A / 4779  SESSION_DISCONNECTED     ??
N/A / 4800  WORKSTATION_LOCKED       ??
*   / 4801  WORKSTATION_UNLOCKED     ??
N/A / 4802  SCREENSAVER_INVOKED      ??
N/A / 4803  SCREENSAVER_DISMISSED    ??

==

Ho già esplorato Riferimento WMI, tuttavia, non è possibile eseguire lo Zero-In nella categoria di classe corretta.

==

Io stesso non ricevo ancora alcuna risposta dal comando WMIC per i seguenti comandi, mentre i restanti comandi stanno dando una risposta positiva.

Di seguito sono riportati sette comandi WMI-QL a risposta vuota, ognuno dei quali ha restituito immediatamente sempre:

1. $ wmic -U Dominio/nomeutente%password //nt-ip-addr "seleziona * da Win32_NTLogEvent dove EventCode = '4778'".
   $

2. $ wmic -u dominio/nome utente%password // nt-ip-addr "seleziona * da win32_ntlogevent dove eventcode = '4779'" $

3. $ wmic -u dominio/nome utente%password // nt-ip-addr "seleziona * da win32_ntlogevent dove eventcode = '4780'" $

4. $ wmic -u dominio/nome utente%password // nt-ip-addr "seleziona * da win32_ntlogevent dove eventcode = '4800'" $

5. $ wmic -u dominio/nome utente%password // nt-ip-addr "seleziona * da win32_ntlogevent dove eventcode = '4801'" $

6. $ wmic -u dominio/nome utente%password // nt-ip-addr "seleziona * da win32_ntlogevent dove eventcode = '4802'" $

7. $ wmic -u dominio/nome utente%password // nt-ip-addr "seleziona * da win32_ntlogevent dove eventcode = '4803'" $

La domanda punta a:Se dobbiamo iscriverci/registrarci esplicitamente a qualsiasi classe di eventi WMI solo per questi sette eventi sopra indicati?o mancano altre impostazioni di configurazione per questi eventi?Eventuali suggerimenti/suggerimenti sarebbero molto apprezzati.

==

Grazie in anticipo.

Answer 1

Fare riferimento al collegamento MSDN:[Classe Win32_NTLogEvent] (http://msdn.microsoft.com/en-us/library/aa394226(v=vs.85).aspx#properties).

Per ottenere la query "512/4608 STARTUP", è possibile eseguire il comando WMIC:"seleziona * da Win32_StartupCommand"

CLASSE:Win32_StartupCommand

Didascalia|Comando|Descrizione|Posizione|Nome|IDimpostazione|Utente|SID utente

Sidebar|%ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun|Sidebar|HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion un|Sidebar|(null)|NT AUTHORITY\LOCAL SERVICE|S -1-5-19

...

Allo stesso modo, per ottenere il codice evento 4800, puoi anche eseguire l'esatto comando WMIC:

wmic -U Dominio/nomeutente%password //nt-ip-addr "seleziona * da Win32_NTLogEvent dove EventCode = '4800'".

Esperti WMI/WMIC là fuori, si prega di rivedere/correggere, se è necessario modificare qualcosa.