WMI:Solicitação gentil para definição de classe de evento WMI-QL:SESSION_RECONNECTED, WORKSTATION_LOCKED, SCREENSAVER_INVOKED

Question

Você poderia revisar o WMI-QL ou compartilhar a seção correta do MSDN ou a página de manual do WMI para procurar as seguintes definições de QL da classe de evento WMI?

Configuração usando laptop Win7 com WMI habilitado e funcionando para muitos WMI-QL para obter informações do sistema.

RESPOSTA ESPERADA DO COMANDO DE ID DE EVENTO WMI

N/A / 4778  SESSION_RECONNECTED      ??
N/A / 4779  SESSION_DISCONNECTED     ??
N/A / 4800  WORKSTATION_LOCKED       ??
*   / 4801  WORKSTATION_UNLOCKED     ??
N/A / 4802  SCREENSAVER_INVOKED      ??
N/A / 4803  SCREENSAVER_DISMISSED    ??

==

eu já explorei Referência WMI, porém incapaz de zerar a categoria de classe correta.

==

Ainda não obtive nenhuma resposta do comando WMIC para os comandos a seguir, enquanto os comandos restantes estão dando uma resposta positiva.

Seguindo sete comandos WMI-QL de resposta vazia, cada um dos quais sempre retornado imediatamente:

1. $ wmic -U Domínio/nome de usuário% senha //nt-ip-addr "selecione * de Win32_NTLogEvent onde EventCode = '4778'".
   $

2. $ wmic -u domain/nome de usuário%senha // nt-ip-addr "selecione * de win32_ntlogevent onde eventcode = '4779'" $

3. $ wmic -u domain/nome de usuário%senha // nt-ip-addr "selecione * de win32_ntlogevent onde eventcode = '4780'" $

4. $ wmic -u domain/nome de usuário%senha // nt-ip-addr "selecione * de win32_ntlogevent onde eventcode = '4800'" $

5. $ wmic -u domain/nome de usuário%senha // nt-ip-addr "selecione * de win32_ntlogevent onde eventcode = '4801'" $

6. $ wmic -u domain/nome de usuário%senha // nt-ip-addr "selecione * de win32_ntlogevent onde eventcode = '4802'" $

7. $ wmic -u domain/nome de usuário%senha // nt-ip-addr "selecione * de win32_ntlogevent onde eventcode = '4803'" $

A questão aponta para:Se precisamos assinar/registrar-se explicitamente em qualquer classe de evento WMI explicitamente apenas para os sete eventos acima?ou alguma outra configuração está faltando para esses eventos?Qualquer dica/sugestão seria muito apreciada.

==

Desde já, obrigado.

Answer 1

Por favor, consulte o MSDN Link: [Win32_ntlogevent Class] ( http://msdn.microsoft.com/en-us/library/aa394226 (v= vs.85) .aspx # propriedades ).

gostaria de obter a consulta "512/4608 startup", você pode executar o comando wmic: "Select * from Win32_StartUpCommand"

Classe: win32_startupCommand

Legenda | Comando | Descrição | Localização | Nome | SettingIn | Usuário | UsersIn

% programfiles% \ Windows Sidebar \ Sidebar.exe / autorrun | barra lateral | HKU \ S-1-5-19 \ Software \ Microsoft \ Windows \ CurrentVersion \ Executar | Barra Lateral | (null) | Autoridade NT \ LocalServiço | S-1-5-19

...

Da mesma forma, para obter o código do evento 4800, você também pode executar o comando exato wmic:

wmic -u domínio / nome de usuário% senha // nt-ip-addr "Select * from win32_ntlogevent onde eventCode= '4800'".

Especialistas WMI / WMIC por aí, revise / corrigir, se algo precisar ser modificado.