3

我有一个第三方程序正在向本地 WMI 提供程序进行 WMI 查询(所以它不使用 DCOM,所以数据包嗅探器不可用)。我想知道这些是什么查询。

它也在 XP 上,因此不幸的是,新的 Vista WMI 跟踪基础结构也已发布。

任何指针?

4

2 回答 2

3

您是否尝试过使用 wmimgmt.msc 将 WMI 日志记录级别设置为 Verbose?(有关MSDN 记录 WMI 活动页面的更多信息)

然后,您应该会看到查询记录到 %windir%\system32\wbem\logs\wbemcore.log 文件。

-戴夫

于 2008-12-29T22:36:54.663 回答
1

我相信 WMI 使用 DCOM 进行通信,您可以使用 WireShark 对 DCOM 数据包进行数据包捕获。我相信 WireShark 中用于 DCOM 的解析器是可用的,尽管它仍然可能有助于参考这篇文章(旧的,但应该仍然是相关的)。

这不适用于对 localhost 的 WMI 查询,因此您需要确保它正在查询远程计算机。

如果您确实想要记录本地查询,请查看有关记录 WMI 查询的MSDN 文章。

于 2008-12-19T15:11:15.363 回答