Недавно я узнал о WMI и WQL. Я узнал список классов Win32 (из MSDN), которые я могу запросить, но я не могу узнать список классов событий (должно быть подмножество списка классов Win32, не так ли?) Кто-нибудь есть список или какая-то шпаргалка для этого? Я просто спрашиваю это из любопытства.
Пример класса событий — Win32_ProcessStartTrace
Вот как перечислить классы событий WMI в пространстве имен root\cimv2 с помощью C# и System.Management:
using System;
using System.Management;
class Program
{
static void Main()
{
string query =
@"Select * From Meta_Class Where __This Isa '__Event'";
ManagementObjectSearcher searcher =
new ManagementObjectSearcher(query);
foreach (ManagementBaseObject cimv2Class in searcher.Get())
{
Console.WriteLine(cimv2Class.ClassPath.ClassName);
}
}
}
root\cimv2 — это пространство имен WMI по умолчанию, поэтому вам не нужно использовать экземпляр ManagementScope. Запрос WQL, переданный ManagementObjectSearcher, является запросом метаданных WMI. Оно использует:
Meta_Class, чтобы обозначить запрос как запрос схемы, и__This для рекурсивного отображения __Event подклассовКласс WMI является классом событий, если его поставщик реализован как поставщик событий WMI и должен быть подклассом __Event. Это не означает, что вы не можете использовать «обычные» классы WMI, такие как Win32_Process и Win32_Service, в запросах событий WQL. Вам просто нужно использовать один из производных от __InstanceOperationEvent вспомогательных классов, таких как __InstanceCreationEvent или __InstanceDeletionEvent, и WMI будет использовать свою собственную подсистему событий для доставки событий.
Вот пример WQL-запроса, который подписывается на Win32_Process событий создания:
Select * From __InstanceCreationEvent Within 5 Where TargetInstance Isa 'Win32_Process'
В этом случае вы должны использовать Within пункт.
WMI Code Creator — это отличный инструмент для изучения WMI, который, среди прочего, позволяет вам исследовать классы событий WMI на локальном или удаленном компьютере и создавать код для получения уведомлений о событиях.
Изменить. Поскольку вы пометили свой вопрос как C#, вам может быть интересен код для получения списка классов событий, полученных из определенного класса программным путем:
using System.Management;
...
string ancestor = "WMIEvent"; // the ancestor class
string scope = "root\\wmi"; // the WMI namespace to search within
try
{
EnumerationOptions options = new EnumerationOptions();
options.ReturnImmediately = true;
options.Rewindable = false;
ManagementObjectSearcher searcher =
new ManagementObjectSearcher(scope, "SELECT * FROM meta_class", options);
foreach (ManagementClass cls in searcher.Get())
{
if (cls.Derivation.Contains(ancestor))
{
Console.WriteLine(cls["__CLASS"].ToString());
}
}
}
catch (ManagementException exception)
{
Console.WriteLine(exception.Message);
}
Разве в MSDN нет списка всех классов MSMCA?
ОБНОВЛЕНИЕ:
я не много работаю с WMI, но я только что нашел это Инструмент WMI, который был бы полезен. Он дает вам графический интерфейс для просмотра иерархии объектов WMI и даже позволяет вам регистрировать и использовать события. Это должно дать вам необходимую информацию.
