WQL - EVENT QUERY

最新推荐文章于 2025-09-12 02:29:22 发布
最新推荐文章于 2025-09-12 02:29:22 发布 · 146 阅读 · 0

本文详细介绍了WMIEVENTQUERY语法及使用方法,包括如何构建WMI查询以接收事件,如实例创建事件,并设置条件筛选特定事件。此外还展示了如何注册事件并指定动作。

WMI EVENT QUERY

EVENT-WQL = “SELECT” <PROPERTY-LIST> “FROM” /
<EVENT-CLASS-NAME> <OPTIONAL-WITHIN> <EVENT-WHERE>

OPTIONAL-WITHIN = ["WITHIN" <INTERVAL>]
INTERVAL = 1*DIGIT
EVENT-WHERE = ["WHERE" <EVENT-EXPR>]

EVENT-EXPR = ( (<INSTANCE-STATE> “ISA” <CLASS-NAME> <EXPR2>) /
< EXPR> )
["GROUP WITHIN" <INTERVAL>
( ["BY" [<INSTANCE-STATE> DOT] <PROPERTY-NAME>]
["HAVING" <EXPR>]] )
INSTANCE-STATE = “TARGETINSTANCE” / “PREVIOUSINSTANCE”

WITHIN

SELECT * FROM eventclass WITHIN interval WHERE property = value

GROUP

SELECT * FROM EventClass [WHERE property = value] GROUP WITHIN interval

#Build a WMI query for receiving an event$query = "Select * from __instanceCreationEvent WHERE TargetInstance ISA 'Win32_NTLogEvent' ANDTargetInstance.EventCode=1980 GROUP WITHIN 300"#Register the eventRegister-WmiEvent -Query $query -Action {Write-Host "Eventlog Arrived" }

HAVING

#Build a WMI query for receiving an event$query = "Select * from __instanceCreationEvent WHERE TargetInstance ISA 'Win32_NTLogEvent' ANDTargetInstance.EventCode=1980 GROUP WITHIN 300 HAVING NumberOfEvents > 10"#Register the eventRegister-WmiEvent -Query $query -Action {Write-Host "Eventlog Arrived" }

SELECT * FROM EventClass [WHERE property = value]
GROUP WITHIN interval HAVING NumberOfEvents operator constant

BY

SELECT * FROM EventClass [WHERE property = value]
GROUP WITHIN interval [BY property_list]

#Build a WMI query for receiving an event$query = "Select * from __instanceCreationEvent WHERE TargetInstance ISA 'Win32_NTLogEvent' ` GROUP WITHIN 300 BY TargetInstance.SourceName ` HAVING NumberOfEvents > 10"#Register the eventRegister-WmiEvent -Query $query -Action {Write-Host "Eventlog Arrived" }

iteye_6233
关注
Event filter with query SELECT * FROM __InstanceModificationEvent WITHIN
09-30
WMI的事件筛选器就是基于WMI的事件通知系统,它使用WQLWMI Query Language)来编写。WQL是一种类似SQL的语言,用于查询WMI的类和实例。通过WQL,管理员能够创建查询,这些查询能够根据不同的标准(如时间间隔、...
常用WMI列表
04-03
常用WMI列表.....
WQL - EVENT QUERY (CONTINIUING)
java开发指南博客 【转载】
07-13 145
INTRINSIC EVENTS SELECT * FROM __InstanceXEvent WITHIN PollingInterval WHERE TargetInstance ISA WMIClassName AND TargetInstance.WMIClassPropertyName = Value _INSTANCECREATIOINEVENT #Query for...
WQL获取PC硬件信息
wlxk的空间
11-13 2216
一、首先是查询的表。 硬件代号为深色的,属性代号是浅色的例如(0,0)是CPU的名字 //【0】处理器ID  0 L"Name",   1 L"ProcessorId",    2 L"MaxClockSpeed", //最快速度 3 L"Current
NET(C#)使用WMI事件查询实现对进程和可移动磁盘的监控
踏实做事,诚信做人
11-03 3119
转自:http://www.cnblogs.com/mgen/archive/2011/09/26/2192033.html     NET(C#)使用WMI事件查询实现对进程和可移动磁盘的监控 目录 进程启动或结束监控可移动磁盘插入或删除监控       返回目录 进程启动或结束监控     代码:         //注意:引用Sys
Windows安全基础——Windows WMI详解
Bruce_xiaowei的博客
12-11 5561
WMI(Windows Management Instrumentation, Windows管理规范)是Windows 2000/XP管理系统的核心,属于管理数据和操作的基础模块。设计WMI的初衷是达到一种通用性,通过WMI操作系统、应用程序等来管理本地或者远程资源。它支持分布式组件对象模型(DCOM,Distribution Components Object Model)和Windows远程管理(WinRM),用户可通过WMI服务访问、配置、管理和监视Windows所有资源的功能。对于其他的Win32
WQL语言简介和WQL测试工具wbemtest.exe使用方法详细介绍
demonzsmj12315的博客
06-25 1200
这篇文章主要介绍了WQL语言简介和WQL测试工具wbemtest.exe使用方法详细介绍,WQL是指Windows管理规范查询语言,需要的朋友可以参考下 WQL就是WMI中的查询语言,WQL的全称是WMI Query Language,简称为WQL,翻译成中文好像可以成为Windows管理规范查询语言。熟悉SQL语言的朋友会感觉它和SQL非常相似。 WQL其实非常简单,它有如下特点:...
wpa_supplicant 2.0版源代码阅读(3) ---- driver event模块 (window篇)
dire_666的专栏
07-31 2412
3. Driver Event模块(windows篇)
Java调用WMI读取Windows EventLog (j-Interop库)
szacrux的专栏
12-10 5432
注:本文代码是在网上的示例代码基础上修改的,本人可没法100%全自己开发。 Windows日志收集,而Logstash原本的eventlog插件,在调用WMI时有漏内存的问题,导致运行几天就挂了。没折只好自己开发下吧。 本人不是搞开发的,只在学生时代学过开发,对Jruby更是不了解,也就没找到Ruby里原生的库对WMI支持好的。好在Jruby可以调用Java库,好吧那咱就看看强大的Java
Event filter with query "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" could not be reactivated in namespace "//./root/CIMV2" because of error 0x80041003. Events cannot be delivered through this filter until the problem is corrected.
05-31
1. **查询语法错误**:事件过滤器中的WQL语句存在逻辑或格式问题[^1][^2][^3]。 2. **权限不足**:当前用户或服务无法访问`root/CIMV2`命名空间。 3. **WMI存储库损坏**:系统WMI配置数据损坏导致无法注册事件过滤器...
37、Windows管理工具(WMI)的使用与管理
最新发布
lemon的博客
09-12 43
本文深入介绍了Windows管理工具WMI(Windows Management Instrumentation)的使用与管理,涵盖了使用Get-CimInstance获取WMI对象、调用WMI方法、临时与永久WMI事件处理等内容。通过丰富的PowerShell代码示例,帮助读者掌握如何利用WMI进行系统信息查询、资源操作和事件监控。文章还对比了不同WMI操作的适用场景,并提供了优化建议与实际应用案例,助力系统管理员高效管理Windows环境。
WMI Query Language (WQL)
Burgess_Liu的专栏
03-22 2909
The WMI Query Language (WQL) is designed to perform queries against the CIM repository to retrieve WMI information. WQL is a subset of ANSI SQL with minor semantic changes to support WMI. Therefore,it
WMI技术介绍和应用——接收事件
方亮的专栏
01-19 9517
        时隔两三年,再次更新WMI系列博文。好在功能在三年前就已经实现了,现在只要补充些实例即可。         之前介绍的基本都是查询静态数据,而本文将要介绍非常有意思的事件接收功能。(转载请指明出于breaksoftware的csdn博客)     监控进程创建和死亡         首先提一个问题,如何监控系统创建进程?比如有些软件会监控竞品是否创建,如果创建了就通知用户“不...
Windows自带的WSQL查询器可以查询系统中的USB/HID等设备
Mad_Geek
04-24 2582
WQL: SELECT * FROM Win32_PnPEntity WHERE PNPDeviceID LIKE 'USB%' 1. 开始-运行-输入:wbemtest 回车 2. 单击"连接", 输入:root\cimv2 回车; 或者ROOT\SecurityCenter 3. 单击"查询", 输入: SELECT * FROM Win32_Process 应用; 或者SELECT *...
WMI可用的信息介绍
thirsd
06-05 379
Win32_Processor, // CPU 处理器 Win32_PhysicalMemory, // 物理内存条 Win32_Keyboard, // 键盘 Win32_PointingDevice, // 点输入设备,包括鼠标。 Win32_FloppyDrive, // 软盘驱动器 Win32_DiskDrive, // 硬盘驱动器...
WMI_02_常用WMI查询列表
田一一
12-02 930
WMI_02_常用WMI查询列表1.硬件相关2.操作系统相关 1.硬件相关 Win32_Processor, // CPU 处理器 Win32_PhysicalMemory, // 物理内存条 Win32_Keyboard, // 键盘 Win32_PointingDevice, // 点输入设备,包括鼠标。 Win32_FloppyDrive, // 软盘驱动器 Win32_DiskDrive, // 硬盘驱动器 Win32_CDROMDrive, // 光盘驱动器 Win32_BaseBoard, /
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值