WMI и журнал событий Windows

При получения данных из журнала событий Windows с помощью WMI (Windows Management Instrumentation), вы стакнетесь с проблемой, ограниченным числом журналов событий Windows. Тем не менее, этот список является неполным другие журналы событий, которые доступны в рамках приложений и служб (например, Print Service) не отображаются по следующей причине. WMI использует реестр, чтобы определить, какие журнала событий Windows он может получить и представить пользователю. Поскольку реестр не содержит записи для источника, что вам требуется, вы не увидите его в списке.

Решение

Создать запись в реестре, чтобы инстумент WMI смог увидеть наличие других журналов событий Windows:

  1. Проверьте фактическое имя журнала событий. Например, PrintServer.
  2. В системе Windows, откройте окно просмотра событий и расширения для Windows Log, Журналы приложений и служб, Microsoft, Windows, PrintService, Microsoft-Windows-PrintService/Operational.WMI и журнала событий Windows
  3. Перейти к свойствам и скопировать Полное имя поля.
  4. Нажмите кнопку Пуск, Выполнить, введите команду regedit и нажмите кнопку ОК.
  5. Перейдите к следующему разделу: HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ EventLog.WMI и журнала событий Windows
  6. Создайте новый ключ, используя полное имя, скопированный ранее — например, Microsoft-Windows-PrintService/Operational.
  7. Закройте редактор реестра.
  8. Создать источник данных WMI и использовать Получить Журналы таким же образом, что вы делали ранее. На этот раз, вы можете увидеть и выбрать соответствующий источник (в данном примере, Microsoft-Windows-PrintService/Operational).

 

Комментариев: 2

  1. Марина

    Позволяет читать данные из реестра, создавать и модифицировать там ключи и разделы. Кроме этого, провайдер обеспечивает генерацию события WMI при изменении определенного ключа или ветви реестра Где проводится профессиональная переподготовка «Системное администрирование Windows»? Что-то я не совсем понял как проводится обучение.

  2. Анжелика

    Тут все просто, как только произойдет запуск в системе процесса notepad.exe, нам будет выдано сообщение об этом. В отличие от внутренних и внешних, WMI события таймера, кото­рые могут происходить либо один раз в определенное время, либо несколь­ко раз через заданные интервалы времени, настраиваются самим потребите­лем. Извещения о событиях таймера могут быть получены в любом пространстве имен. Более детально данный тип я разберу в отдельной статье.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *