WMI:Gentile richiesta per la definizione della classe evento WMI-QL:SESSION_RECONNECTED, WORKSTATION_LOCKED, SCREENSAVER_INVOKED
-
21-12-2019 - |
Domanda
Potresti rivedere WMI-QL o condividere la sezione MSDN corretta o la pagina man WMI per cercare le seguenti definizioni QL della classe evento WMI?
Configurazione utilizzando un laptop Win7 con WMI abilitato e funzionante con molti WMI-QL per informazioni di sistema.
RISPOSTA PREVISTA COMANDO EVENT-ID WMI
N/A / 4778 SESSION_RECONNECTED ??
N/A / 4779 SESSION_DISCONNECTED ??
N/A / 4800 WORKSTATION_LOCKED ??
* / 4801 WORKSTATION_UNLOCKED ??
N/A / 4802 SCREENSAVER_INVOKED ??
N/A / 4803 SCREENSAVER_DISMISSED ??
==
Ho già esplorato Riferimento WMI, tuttavia, non è possibile eseguire lo Zero-In nella categoria di classe corretta.
==
Io stesso non ricevo ancora alcuna risposta dal comando WMIC per i seguenti comandi, mentre i restanti comandi stanno dando una risposta positiva.
Di seguito sono riportati sette comandi WMI-QL a risposta vuota, ognuno dei quali ha restituito immediatamente sempre:
$ wmic -U Dominio/nomeutente%password //nt-ip-addr "seleziona * da Win32_NTLogEvent dove EventCode = '4778'".
$$ wmic -u dominio/nome utente%password // nt-ip-addr "seleziona * da win32_ntlogevent dove eventcode = '4779'" $
$ wmic -u dominio/nome utente%password // nt-ip-addr "seleziona * da win32_ntlogevent dove eventcode = '4780'" $
$ wmic -u dominio/nome utente%password // nt-ip-addr "seleziona * da win32_ntlogevent dove eventcode = '4800'" $
$ wmic -u dominio/nome utente%password // nt-ip-addr "seleziona * da win32_ntlogevent dove eventcode = '4801'" $
$ wmic -u dominio/nome utente%password // nt-ip-addr "seleziona * da win32_ntlogevent dove eventcode = '4802'" $
$ wmic -u dominio/nome utente%password // nt-ip-addr "seleziona * da win32_ntlogevent dove eventcode = '4803'" $
La domanda punta a:Se dobbiamo iscriverci/registrarci esplicitamente a qualsiasi classe di eventi WMI solo per questi sette eventi sopra indicati?o mancano altre impostazioni di configurazione per questi eventi?Eventuali suggerimenti/suggerimenti sarebbero molto apprezzati.
==
Grazie in anticipo.
Soluzione
Fare riferimento al collegamento MSDN:[Classe Win32_NTLogEvent] (http://msdn.microsoft.com/en-us/library/aa394226(v=vs.85).aspx#properties).
Per ottenere la query "512/4608 STARTUP", è possibile eseguire il comando WMIC:"seleziona * da Win32_StartupCommand"
CLASSE:Win32_StartupCommand
Didascalia|Comando|Descrizione|Posizione|Nome|IDimpostazione|Utente|SID utente
Sidebar|%ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun|Sidebar|HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion un|Sidebar|(null)|NT AUTHORITY\LOCAL SERVICE|S -1-5-19
...
Allo stesso modo, per ottenere il codice evento 4800, puoi anche eseguire l'esatto comando WMIC:
wmic -U Dominio/nomeutente%password //nt-ip-addr "seleziona * da Win32_NTLogEvent dove EventCode = '4800'".
Esperti WMI/WMIC là fuori, si prega di rivedere/correggere, se è necessario modificare qualcosa.