Question

Я пытаюсь отследить возникновение указанных событий безопасности.Я хочу, чтобы сообщение отображалось пользователю всякий раз, когда эти события регистрируются в журнале безопасности Windows.Было рекомендовано, чтобы я использовал постоянного потребителя / наблюдателя событий WMI для достижения этой цели, но я никогда не использовал это раньше и не понимаю, как реализовать это на основе документации .

Если кто-нибудь может объяснить, как я могу это сделать, например, для Событие 1102 , было бы очень признательно.

NicoRiff · Answer 1 · 20 декабря 2018

Вы можете использовать ORMi для создания наблюдателя и получения любого нового события:

WMIWatcher watcher = new WMIWatcher("root\\CimV2", "Select * From __InstanceCreationEvent WHERE TargetInstance ISA 'Win32_NTLogEvent' and TargetInstance.LogFile='Application'");
watcher.WMIEventArrived += Watcher_WMIEventArrived;

private static void Watcher_WMIEventArrived(object sender, WMIEventArgs e)
{
    //HANDLE EVENTS
}

Не забудьте проверить, возвращает ли запрос ожидаемые события.

Как создать постоянного потребителя событий WMI, который отображает сообщение?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Как создать постоянного потребителя событий WMI, который отображает сообщение?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы