Вам нужно настроить WMI Temporary Event Consumer в вашем приложении. Обратите внимание, что для мониторинга
Журнал событий, вам нужно будет запросить SeSecurityPrivilege в вашем WMI-соединении (возможно, вы можете получать события из журнала безопасности, для которых требуется это разрешение)
Вот несколько примеров WQL запросов:
// See all events:
select * from __InstanceCreationEvent where TargetInstance ISA 'Win32_NTLogEvent'
// Catch only specific events: 4202 is a network transport failure
select * from __InstanceCreationEvent where TargetInstance ISA 'Win32_NTLogEvent'
and TargetInstance.EventCode=4202
// Catch only events from a specific source: in this case WMI itself.
select * from __InstanceCreationEvent where TargetInstance ISA 'Win32_NTLogEvent'
and TargetInstance.SourceName='WinMgmt'