【发布时间】:2008-12-19 15:04:35
【问题描述】:
我有一个第三方程序正在向本地 WMI 提供程序进行 WMI 查询(因此它不使用 DCOM,因此数据包嗅探器不可用)。我想知道这些是什么查询。
它也在 XP 上,因此很遗憾,新的 Vista WMI 跟踪基础架构也已发布。
任何指针?
【问题讨论】:
【发布时间】:2008-12-19 15:04:35
【问题描述】:
您是否尝试过使用 wmimgmt.msc 将 WMI 日志记录级别设置为 Verbose? (更多信息请参见MSDN Logging WMI Activity 页面)
然后您应该会看到查询记录到 %windir%\system32\wbem\logs\wbemcore.log 文件。
-戴夫
【讨论】:
-
是的,我有。该日志文件中没有足够的信息。我想具体查看正在执行哪些查询/方法,以及在哪个命名空间中。理想情况下,我希望完整转储对 IWbemServices 接口的每次调用。
-
需要注意的是,在 Windows Vista 上,您无法通过 wmimgmt.msc 启用日志记录或配置日志记录路径。
我相信 WMI 使用 DCOM 进行通信,您可以使用 WireShark 对 DCOM 数据包进行数据包捕获。我相信 WireShark 中用于 DCOM 的解析器是可用的,尽管它仍然可能有助于引用 this article(旧的,但应该仍然是相关的)。
这不适用于对 localhost 的 WMI 查询,因此您需要确保它正在查询远程计算机。
如果您确实想记录本地查询,请查看this MSDN article on logging WMI 查询。
【讨论】:
-
本地,不是远程;澄清的问题。