1

请您查看 WMI-QL 或共享正确的 MSDN 部分或 WMI 手册页以查找以下 WMI 事件类 QL 定义吗?

使用启用 WMI 的 Win7 笔记本电脑进行设置,并为许多 WMI-QL 工作以获取系统信息。

WMI 事件 ID 命令预期响应

N/A / 4778  SESSION_RECONNECTED      ??
N/A / 4779  SESSION_DISCONNECTED     ??
N/A / 4800  WORKSTATION_LOCKED       ??
*   / 4801  WORKSTATION_UNLOCKED     ??
N/A / 4802  SCREENSAVER_INVOKED      ??
N/A / 4803  SCREENSAVER_DISMISSED    ??

==

我已经探索过WMI Reference,但是无法在正确的类类别中归零。

==

对于以下命令,我自己仍然没有得到 WMIC 命令的任何响应,而其余命令正在给出肯定响应。

以下七个空响应 WMI-QL 命令,每个命令总是立即返回:

  1. $ wmic -U Domain/username%password //nt-ip-addr "select * from Win32_NTLogEvent where EventCode = '4778'"。
    $

  2. $ wmic -U Domain/username%password //nt-ip-addr "select * from Win32_NTLogEvent where EventCode = '4779'" $

  3. $ wmic -U Domain/username%password //nt-ip-addr "select * from Win32_NTLogEvent where EventCode = '4780'" $

  4. $ wmic -U Domain/username%password //nt-ip-addr "select * from Win32_NTLogEvent where EventCode = '4800'" $

  5. $ wmic -U Domain/username%password //nt-ip-addr "select * from Win32_NTLogEvent where EventCode = '4801'" $

  6. $ wmic -U Domain/username%password //nt-ip-addr "select * from Win32_NTLogEvent where EventCode = '4802'" $

  7. $ wmic -U Domain/username%password //nt-ip-addr "select * from Win32_NTLogEvent where EventCode = '4803'" $

问题指向:我们是否需要显式订阅/注册任何 WMI 事件类仅针对以上七个事件?或者这些事件缺少任何其他配置设置?任何提示/提示将不胜感激。

==

提前致谢。

4

1 回答 1

0

请参考 MSDN 链接:[Win32_NTLogEvent 类](http://msdn.microsoft.com/en-us/library/aa394226 (v=vs.85).aspx#properties )。

想得到“512 / 4608 STARTUP”查询,可以运行WMIC命令:“select * from Win32_StartupCommand”

类:Win32_StartupCommand

标题|命令|描述|位置|名称|设置 ID|用户|UserSID

Sidebar|%ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun|Sidebar|HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Sidebar|(null)|NT AUTHORITY\LOCAL SERVICE|S -1-5-19

...

同样,要获取事件代码 4800,您也可以运行确切的 WMIC 命令:

wmic -U Domain/username%password //nt-ip-addr "select * from Win32_NTLogEvent where EventCode = '4800'"。

WMI/WMIC 专家在那里,如果需要修改,请查看/更正。

于 2014-04-11T14:49:07.040 回答