背景:
采集Windows 日志的方式:
NXLog:C 语言写的一个开源日志收集处理软件,支持多平台。需要进行安装,配置使用。
WMI:是 Microsoft 对基于 Web 的企业管理 (WBEM) 的实现,WBEM 是一项业界倡议,用于为访问企业环境中的管理信息开发一项标准技术,是管理数据和操作在基于 Windows 操作系统上的基础结构。 可以编写 WMI 脚本或应用程序以在远程计算机上自动执行管理任务,但 WMI 还会向操作系统的其他部分和产品提供管理数据。需要对Windows 系统进行配置使用
WMI简介
官方说法:
Windows Management Instrumentation (WMI) 是 Microsoft 对基于 Web 的企业管理 (WBEM) 的实现,WBEM 是一项业界倡议,用于为访问企业环境中的管理信息开发一项标准技术。 WMI使用通用信息模型 (CIM)行业标准来表示系统、应用程序、网络、设备和其他托管组件。 CIM 由分布式管理任务组(DMTF) 来开发和维护。
WindowsManagement Instrumentation (WMI) 是管理数据和操作在基于 Windows 操作系统上的基础结构。可以编写 WMI 脚本或应用程序以在远程计算机上自动执行管理任务,但WMI 还会向操作系统的其他部分和产品提供管理数据,例如 System Center Operations Manager
(以前Microsoft
Operations Manager (MOM) ) 或 Windows 远程管理— (WinRM)。
WMI 可用于所有基于Windows的应用程序,在企业应用程序和管理脚本中非常有用。
通俗说法:
Windows 管理规范(Windows Management Instrumentation)是一项核心的 Windows 管理技术;用户可以使用 WMI 管理本地和远程计算机。WMI通过编程和脚本语言为日常管理提供了一条连续一致的途径。用户可以:
在远程计算机器上启动一个进程。
设定一个在特定日期和时间运行的进程。
远程启动计算机。
获得本地或远程计算机的已安装程序列表。
查询本地或远程计算机的 Windows 事件日志。
WMI体系结构
WMI为从计算机系统、网络或企业获取管理数据的任何本地或远程应用程序或脚本提供统一接口。统一接口的设计使得WMI客户端应用程序和脚本不必调用各种各样的操作系统应用程序编程接口(API)。许多API不能被脚本或Visual Basic应用程序等自动化客户端调用。
要从 WMI 获取数据,请编写一个客户端脚本或应用程序,用于访问 Wmi 类 或通过编写WMI提供程序向WMI提供数据。
下图显示了WMI 基础结构与WMI 提供程序和托管对象之间的关系,还显示了WMI 基础结构与WMI 使用者之间的关系。
结构说明:
托管对象和 WMI 提供程序
托管对象:WMI 提供程序是一个 COM 对象,用于监视 WMI 的一个或多个 托管对象 。 托管对象是逻辑或物理企业组件,例如硬盘驱动器、网络适配器、数据库系统、操作系统、进程或服务。
提供程序:提供程序的一个示例是预安装的 注册表提供程序,它在系统注册表中访问数据。 注册表提供程序有一个 WMI 类 StdRegProv,其中有许多方法,但没有属性。 其他预安装的提供程序(如 win32 提供程序)通常具有多个属性的类,但这种方法很少,如 Win32 _ 进程 或 win32 _ 逻辑磁盘。 注册表提供程序 DLL 文件 Stdprov.dll 包含在客户端脚本或应用程序请求时动态返回数据的代码。
WMI 基础结构
WMI 存储库:WMI 存储库 按WMI命名空间组织。WMI 服务在系统启动时创建一些命名空间(如root\default, root\cimv2, and root\subscription), 并预安装一组默认的类定义,包括 Win32 类、 WMI 系统类以及其他命名空间。 系统中找到的其余命名空间由操作系统或产品的其他部分的提供程序创建。 有关详细信息以及大多数操作系统版本中的 WMI 提供程序的列表。
WMI Core:WMI 服务充当提供程序、管理应用程序与 WMI 存储库之间的媒介。对象的静态数据存储在存储库中,如由提供程序定义的类。 当客户端请求大量数据时,WMI 会从提供程序动态获取该数据。 还可以设置订阅以从提供程序接收事件通知。
WMI 使用者:WMI 使用者是与 WMI 基础结构交互的管理应用程序或脚本。 管理应用程序可以通过调用WMI的 COM API 或 WMI 的脚本 API来查询、枚举数据、运行提供程序方法或订阅事件。 可用于托管对象(如磁盘驱动器或服务)的唯一数据或操作是提供程序提供的数据或操作。
WMI的使用
通过编写脚本或应用程序从 WMI 获取数据
WMI客户端
WMI 的核心功能包括从 WMI 存储库检索对象和检查这些对象的属性。
使用 PowerShell 创建客户端
WMI 和 PowerShell 紧密集成;因此,使用 PowerShell 检索 WMI 对象只需调用 Get-WmiObject cmdlet 即可。 请注意,为了保持一致性,第一个代码段显式说明了许多默认值;第二个示例假设默认值是正确的。
使用 VBScript 创建客户端
VBScript 是与 WMI 共同使用的原始脚本语言。 虽然 PowerShell 已变得越来越普遍,但本文档中的许多现有代码示例都是用 VBScript 编写的。 请注意,此特定 VBScript 示例明确说明了本地计算机路径以及模拟级别;这不是必需的,但通常是最佳做法。
使用 c # (创建 客户端)
此命名空间包含用于访问托管代码 WMI 的当前解决方案,称为 Windows 管理基础结构 (MI 或 WMIv2) 。 目前,MI 是创建托管管理客户端所支持的技术。
使用 c # (system.web 创建客户端)
此命名空间包含用于通过托管代码访问 WMI 的原始解决方案。 尽管 系统管理 类仍可用,但在通常情况下,我们的 管理 类更有效且更好地扩展。 因此,建议使用 MI 类,而不是原始 WMI 类。
WMI服务端设置
WMI 可用于管理和访问远程计算机上的 WMI 数据。 Windows 防火墙和 DCOM 设置会影响 WMI 中的远程连接。 (UAC) 的用户帐户控制 也可能需要更改某些设置。 但是,一旦设置正确,对远程系统的调用与本地 WMI 调用非常类似。 您可以选择使用不同的凭据、备用身份验证协议和其他安全功能,使其更复杂。
Windows 防火墙
使用防火墙页面启用或禁用 WMI 流量
1.在 控制面板 中,单击 "安全",然后单击 " Windows 防火墙"
2.单击 "允许应用或功能通过Windows Defender防火墙",然后单击"更改设置"
3.在 "允许的应用和功能" 窗口中,选中 Windows Management Instrumentation (wmi) 的复选框,以便通过防火墙启用 wmi 流量。 若要禁用 WMI 流量,请清除该复选框
Remote Procedure Call (RPC)远程过程调用 -- 端口: 135
Windows Management Instrumentation (WMI) Windows管理规范-- 端口: 445
用户帐户控制 (UAC)
用户帐户控制 (UAC) 访问-令牌筛选可能会影响 WMI 命名空间中允许的操作或返回的数据。 在UAC 下,本地 Administrators 组中的所有帐户都使用标准用户 访问令牌运行,也称为 UAC 访问令牌筛选。 管理员帐户可以使用提升的权限("以管理员身份运行")运行脚本。
当你未连接到内置管理员帐户时,UAC 会影响与远程计算机的连接,具体取决于两台计算机是在域中还是在工作组中
DCOM设置
WMI 使用 DCOM 来处理远程调用。 连接到远程计算机失败的一个原因是,DCOM 故障 (错误 "DCOM 拒绝访问" 十进制-2147024891 或 hex 0x80070005)。
为用户或组授予 DCOM 远程启动和激活权限:
1.单击 " 开始",再单击 " 运行",键入 Dcomcnfg.exe,然后单击 "确定"。
2.在 " 组件服务 " 对话框中,展开 " 组件服务",展开 " 计算机",然后右键单击 我的电脑 然后单击 " 属性"。
3.在 " 我的电脑属性 " 对话框中,单击 " COM 安全 " 选项卡。
4.在 " 启动和激活权限" 下,单击 " 编辑限制"。
5.如果名称或组未出现在 "组或用户名" 列表 中,请在 "启动权限" 对话框中执行以下步骤:
a)在 " 启动权限 " 对话框中,单击 " 添加"。
b)在 " 选择用户、计算机或组 " 对话框中,在 " 输入要选择的对象名称 " 框中添加你的名称和组,然后单击 "确定"。
6.在 " 启动权限 " 对话框中,在 " 组或用户名 " 框中选择用户和组。 在 "用户权限" 下的 "允许" 列中,选择 "远程启动",然后选择 "远程激活",然后单击 "确定"。
授予 DCOM 远程访问权限:
1.单击 " 开始",再单击 " 运行",键入 Dcomcnfg.exe,然后单击 "确定"。
2.在 " 组件服务 " 对话框中,展开 " 组件服务",展开 " 计算机",然后右键单击 我的电脑 然后单击 " 属性"。
3.在 " 我的电脑属性 " 对话框中,单击 " COM 安全 " 选项卡。
4.在 " 访问权限" 下,单击 " 编辑限制"。
5.在 "访问权限" 对话框的 "组或用户名" 框中,选择 "匿名登录 名"。 在 "用户的权限" 下的 "允许" 列中,选择 "远程访问",然后单击 "确定"。
WMI控件设置
对 WMI 命名空间及其数据的访问由 安全描述符控制。 通过调整命名空间安全描述符来控制谁有权访问数据和方法,可以保护 命名空间 中的数据。
使用 WMI 控件设置命名空间安全性:
1.使用 MOF 代码创建托管对象格式 (命名空间) 命名空间。
2.运行 WMI 控件以设置新命名空间的安全性。 在" 开始" 菜单上, 单击"运行 "并键入 wmimgmt.msc
3.在 "WMI 控件" 窗格中,右键单击 "WMI 控件", 选择"属性 ",然后选择" 安全" 选项卡。
4.导航到新命名空间,单击" 安全性", 然后为命名空间配置组和权限
将命名空间安全设置为要求对远程连接进行数据加密
管理员或 MOF 文件可以配置 WMI 命名空间,以便不会返回任何数据,除非将 (RPC _ C _ 身份验证 _ LEVEL _ PKT _ 隐私 或 PktPrivacy 的数据包隐私设置为与该命名空间的连接中的脚本) 中的名字对象。 这可确保在数据跨越网络时对其进行加密。 如果尝试设置较低的身份验证级别,会收到 "拒绝访问" 消息。如VB示例代码
WMI设置固定端口
WMI 作为共享服务主机的一部分运行,默认情况下,该主机具有通过 DCOM 分配的端口。 但是,可以将 WMI 服务设置为在单独的主机中作为唯一进程运行,并指定固定端口。
为 WMI 设置固定端口:
1.在命令提示符下,键入 winmgmt –standalonehost
2.通过键入命令 net stop"Windows Management Instrumentation" 来停止 WMI 服务,或使用 net stop winmgmt 的短名称
3.通过键入 net start "Windows Management Instrumentation" 或 net start winmgmt, 在新的服务主机中再次重启 WMI 服务
4.键入 netsh 防火墙添加端口打开 TCP 24158 WMIFixedPort,为 WMI 服务建立新的端口号
若要撤消对 WMI 进行的任何更改,请 键入 winmgmt /sharedhost,然后再次停止并启动 winmgmt 服务。
WMI连接
VBScript 远程连接到 WMI
如果你使用相同的凭据连接到远程计算机 (域和用户名) 你使用登录,则可以在 GetObject名字对象中指定连接信息
如果连接到另一个域中的远程计算机或者使用不同的用户名和密码,则必须使用 SWbemLocator. ConnectServer 方法。
PowerShell远程连接到 WMI
Windows PowerShell 提供了一种简单的机制来连接到远程计算机上的 Windows Management Instrumentation (WMI)。
以下示例Windows PowerShell使用不同的凭据连接到远程计算机,以及如何将模拟级别设置为 3,即 Impersonate:
以下 Windows PowerShell 示例通过创建远程计算机名称数组,然后在每台计算机上显示设备的名称(Win32_PnPEntity的实例)连接到同一域中的一组远程计算机:
C# 远程连接到 WMI
使用 C# (Microsoft.Management.Infrastructure) 远程连接到 WMI 使用登录时使用的相同凭据(域和用户名)连接到远程计算机,则可以在Create调用中指定计算机的名称。一旦您获得了返回的CimSession对象,您就可以进行 WMI 查询。
WMI任务
要在各种计算机和网络管理执行任务,WMI 类提供了用于执行这些任务,下表列出了任务的类别:
Win32_NTLogEvent类
Win32_NTLogEvent类 用于转换 Windows 事件日志中的实例。应用程序必须具有SeSecurityPrivilege才能从安全事件日志接收事件,否则将“拒绝访问”返回给应用程序。
Win32_NTLogEvent类具有以下属性:
WQL (SQL for WMI)
WMI 查询语言 (WQL) 是美国国家标准学会结构化查询语言 (ANSI SQL 的一个子集,其中包含次语义更改。 下表列出了 WQL 关键字。
常用的WQL语句:
//查系统日志
SELECT * FROM Win32_NTLogEvent WHERE Logfile = 'System'
//查应用日志
SELECT * FROM Win32_NTEventLogFile WHERE LogFileName='Application'
//查特定事件类型日志
SELECT * FROM Win32_NTLogEvent where EventCode=4097
WMIC
WMI命令行 (WMIC) 实用工具提供 Windows Management Instrumentation (WMI) 的命令行接口。 WMIC 与现有 shell 和实用工具命令兼容。
WMIC 扩展了 WMI 提供了从命令行接口和批命令脚本执行系统管理的支持。在 WMIC 之前,您使用基于 WMI 的应用程序(如 SMS)、WMI 脚本 API 或 CIM Studio 等工具来管理启用 WMI 的计算机。WMIC 比 WMI 更直观,很大程度上是因为aliases。别名采用在命令行中输入的简单命令,然后以预定义的方式作用于 WMI 命名空间,例如从简单的WMIC 别名 Get 命令构造复杂的 WMI 查询语言 (WQL) 命令。因此,别名充当使用者和命名空间之间的友好语法中介,从 WMIC 命令提示符获取用户帐户信息,Useraccount 别名执行Win32_Useraccount 类的 WQL 查询,并以文本格式显示该类的特定数据。
WMIC 工具在Windows 10 Server 的Windows 10 21H1 和 21H1 通用版本中弃用。 此工具被WMI的Windows PowerShell取代。 注意:此弃用仅适用于 命令行管理工具。WMI 本身不受影响。