刚刚开始使用WMI,我试图了解 Win32_ProcessStartTrace 和 __ InstanceCreationEvent 之间的区别。当新进程开始时,它们都可用,但是哪个是第一个?
我已经测试了Microsoft提供的几个示例,除了一个提供了有用的信息而另一个没有提供信息之外,我看不到任何主要区别,例如性能问题。 (或者是吗?)
从Win32_ProcessStartTrace和__InstanceCreationEvent的记录来看,我们可以看到很大的不同,因为Win32_提供了更多详细信息,例如ProcessID,而__Instance没有。
如果要有效地(异步地)监视流程创建,应使用这2种方法中的哪一种?
必须获取有关流程的信息,至少是ProcessID。
非常感谢您提供一个很好的解释,我相信其他人也有兴趣。
答案 0 :(得分:1)
_InstanceCreationEvent
有一个TargetInstance
字段,对于一个新进程,它是一个Win32_Process
对象,它具有与Win32_ProcessStartTrace
提供的大多数相同(或更多)字段。