WMI:Solicitação gentil para definição de classe de evento WMI-QL:SESSION_RECONNECTED, WORKSTATION_LOCKED, SCREENSAVER_INVOKED
-
21-12-2019 - |
Pergunta
Você poderia revisar o WMI-QL ou compartilhar a seção correta do MSDN ou a página de manual do WMI para procurar as seguintes definições de QL da classe de evento WMI?
Configuração usando laptop Win7 com WMI habilitado e funcionando para muitos WMI-QL para obter informações do sistema.
RESPOSTA ESPERADA DO COMANDO DE ID DE EVENTO WMI
N/A / 4778 SESSION_RECONNECTED ??
N/A / 4779 SESSION_DISCONNECTED ??
N/A / 4800 WORKSTATION_LOCKED ??
* / 4801 WORKSTATION_UNLOCKED ??
N/A / 4802 SCREENSAVER_INVOKED ??
N/A / 4803 SCREENSAVER_DISMISSED ??
==
eu já explorei Referência WMI, porém incapaz de zerar a categoria de classe correta.
==
Ainda não obtive nenhuma resposta do comando WMIC para os comandos a seguir, enquanto os comandos restantes estão dando uma resposta positiva.
Seguindo sete comandos WMI-QL de resposta vazia, cada um dos quais sempre retornado imediatamente:
$ wmic -U Domínio/nome de usuário% senha //nt-ip-addr "selecione * de Win32_NTLogEvent onde EventCode = '4778'".
$$ wmic -u domain/nome de usuário%senha // nt-ip-addr "selecione * de win32_ntlogevent onde eventcode = '4779'" $
$ wmic -u domain/nome de usuário%senha // nt-ip-addr "selecione * de win32_ntlogevent onde eventcode = '4780'" $
$ wmic -u domain/nome de usuário%senha // nt-ip-addr "selecione * de win32_ntlogevent onde eventcode = '4800'" $
$ wmic -u domain/nome de usuário%senha // nt-ip-addr "selecione * de win32_ntlogevent onde eventcode = '4801'" $
$ wmic -u domain/nome de usuário%senha // nt-ip-addr "selecione * de win32_ntlogevent onde eventcode = '4802'" $
$ wmic -u domain/nome de usuário%senha // nt-ip-addr "selecione * de win32_ntlogevent onde eventcode = '4803'" $
A questão aponta para:Se precisamos assinar/registrar-se explicitamente em qualquer classe de evento WMI explicitamente apenas para os sete eventos acima?ou alguma outra configuração está faltando para esses eventos?Qualquer dica/sugestão seria muito apreciada.
==
Desde já, obrigado.
Solução
Por favor, consulte o MSDN Link: [Win32_ntlogevent Class] ( http://msdn.microsoft.com/en-us/library/aa394226 (v= vs.85) .aspx # propriedades ).
gostaria de obter a consulta "512/4608 startup", você pode executar o comando wmic: "Select * from Win32_StartUpCommand"
Classe: win32_startupCommand
Legenda | Comando | Descrição | Localização | Nome | SettingIn | Usuário | UsersIn
% programfiles% \ Windows Sidebar \ Sidebar.exe / autorrun | barra lateral | HKU \ S-1-5-19 \ Software \ Microsoft \ Windows \ CurrentVersion \ Executar | Barra Lateral | (null) | Autoridade NT \ LocalServiço | S-1-5-19
...
Da mesma forma, para obter o código do evento 4800, você também pode executar o comando exato wmic:
wmic -u domínio / nome de usuário% senha // nt-ip-addr "Select * from win32_ntlogevent onde eventCode= '4800'".
Especialistas WMI / WMIC por aí, revise / corrigir, se algo precisar ser modificado.