0

我正在开发一个C++使用VS2010. 在我的代码中,我有两个WQL查询如下:

hres = pSvc->ExecNotificationQueryAsync(
        _bstr_t("WQL"), 
        _bstr_t("SELECT * " 
            "FROM __InstanceDeletionEvent WITHIN 1 "
            "WHERE TargetInstance ISA 'Win32_Process' "), 
        WBEM_FLAG_SEND_STATUS, 
        NULL, 
        pStubSink);


     hres1 = pSvc->ExecNotificationQueryAsync(
        _bstr_t("WQL"), 
        _bstr_t("SELECT * " 
            "FROM __InstanceCreationEvent WITHIN 1 "
            "WHERE TargetInstance ISA 'Win32_Process'"), 
        WBEM_FLAG_SEND_STATUS, 
        NULL, 
        pStubSink);

IWbemObjectSink::Indicate在创建或删除进程时,我将其名称从该方法打印到控制台中。当打印进程的名称时,我需要知道它是创建还是删除。我怎么会知道这个?有什么方法可以知道哪个异步方法调用了Indicate方法?

谢谢

4

1 回答 1

1

__InstanceDeletionEvent 和 __InstanceCreationEvent 是 __InstanceOperationEvent 的子类。因此,您应该查询 __InstanceOperationEvent 的实例。然后,您将从 Sink 类(例如 pStubSink)中的对象中获取该类,以了解从哪个实例创建。查看此示例以了解如何处理类似情况:http: //blogs.technet.com/b/heyscriptingguy/archive/2005/04/04/how-can-i-monitor-for-different-类型的事件-with-just-one-script.aspx

更新1:

__InstanceOperationEvent 是以下的超类:__InstanceDeletionEvent、__InstanceCreationEvent 和 __InstanceModificationEvent。

pSvc->ExecNotificationQueryAsync(
        _bstr_t("WQL"), 
        _bstr_t("SELECT * FROM __InstanceOperationEvent WITHIN 1 WHERE Targetinstance ISA 'Win32_Process'"), 
        WBEM_FLAG_SEND_STATUS, 
        NULL, 
        pStubSink);

在您的指示功能中:

Indicate(long lObjectCount,
    IWbemClassObject **apObjArray)
{
    HRESULT hr = S_OK;
    for (int i = 0; i < lObjectCount; i++)
    {
        _variant_t myVariant;

        hr = apObjArray[i]->Get(_bstr_t(L"__Class"), 0, &myVariant, 0, 0);


        if (SUCCEEDED(hr))
        {

            std::wstring classOrigin(myVariant.bstrVal);

            if (0 == classOrigin.compare(L"__InstanceDeletionEvent") )
            {

                std::wcout << L"DELETION" << std::endl;
            }
            else if (0 == classOrigin.compare(L"__InstanceCreationEvent"))
            {

                std::wcout << L"CREATION" << std::endl;
            }
        }
    }
}

myVariant 会说哪个是生成事件的类(阅读注释)。

注意:这将导致对您的 pStubSink 的持续调用,因为进程不断被修改(__InstanceModificationEvent,例如内存/CPU 的变化)。

UPDATE2:您还可以有两个不同的查询(和连续的接收对象),一个用于创建,一个用于删除(例如,pStubSinkCreation、pStubSinkDeletion)。这样,您 (1) 将准确地知道它何时来自创造,何时来自删除;(2) 将避免不断接收 __InstanceModificationEvent。

于 2015-03-06T20:28:16.063 回答