我正在尝试跟踪指定安全事件的发生。我希望在Windows安全日志中记录这些事件时向用户显示一条消息。建议我使用一个永久的WMI事件使用者/观察者来完成此操作,但是我以前从未使用过它,并且不了解如何基于the documentation来实现它。
如果有人能解释我如何做到这一点,例如Event 1102,将不胜感激。
答案 0 :(得分:0)
您可以使用ORMi创建观察者并获取任何新事件:
WMIWatcher watcher = new WMIWatcher("root\\CimV2", "Select * From __InstanceCreationEvent WHERE TargetInstance ISA 'Win32_NTLogEvent' and TargetInstance.LogFile='Application'");
watcher.WMIEventArrived += Watcher_WMIEventArrived;
private static void Watcher_WMIEventArrived(object sender, WMIEventArgs e)
{
//HANDLE EVENTS
}
请务必检查查询是否返回您期望的事件。