As consultas de eventos são usadas para assinaturas de eventos WMI. Particularmente eu não consegui utilizá-las, porém, como constam na documentação da Microsoft as registrei aqui pra caso algum leitor conseguia utiliza contribua com a informação deixando um comentário de como executar a consulta de modo eficaz.
Você iram perceber que essa técnica é muito eficaz, no caso de querer monitorar certos eventos utilizando o Zabbix. Eventos de segurança (Acesso, conta de usuários, auditoria de senha e alteração na permissão de grupos ou contas de usuário do AD) ficará mais simples usando esse filtro.
Select * From __InstanceCreationEvent Within 5 Where TargetInstance Isa "Win32_Process"
Essa consulta também é frequentemente encontrada em exemplos WMI. As consultas de eventos WMI são diferentes de outros tipos de consulta porque não retornam objetos WMI imediatamente. Em vez disso, eles são usados para se inscrever em eventos WMI e os objetos são retornados conforme os eventos chegam. Observe as duas características distintas das consultas de evento não presentes em outros tipos de consulta:
A cláusula Withine a __InstanceCreationEventclasse. A cláusula Within informa ao WMI com que frequência pesquisar eventos em segundos. Na consulta acima, o intervalo de pesquisa é de 5 segundos. O monitoramento de eventos WQL consome recursos do sistema, portanto, é importante equilibrar entre a necessidade de obter eventos a tempo e a necessidade de não sobrecarregar o sistema. A __InstanceCreationEventclasse é uma das classes usadas apenas em consultas de eventos (outras duas classes comumente usadas são __InstanceModificationEvent e __InstanceDeletionEvent). Uma instância desta classe é criada quando um evento solicitado chega. A propriedade __InstanceCreationEvent.TargetInstance contém uma referência a uma classe WMI que realmente disparou o evento. Na consulta acima, é a Win32_Process classe e podemos usar a TargetInstance propriedade para acessar suas propriedades.
Consulta WQL Para Determinados Eventos de Processos
Select * From __InstanceCreationEvent Within 5 Where TargetInstance Isa "Win32_Process" And TargetInstance.Name = "Notepad.exe"
Esta consulta monitora o evento de criação do processo, mas apenas para processos denominados ‘ Notepad.exe ‘. Esse é o famoso bloco de notas.
Consulta WQL Para Eventos De Processos Excluídos
Select * From __InstanceDeletionEvent Within 5 Where TargetInstance Isa "Win32_Process" And TargetInstance.Name = "Notepad.exe"
Use esta consulta monitora os eventos de exclusão de processo para processos cuja Namepropriedade é igual a ‘ Notepad.exe ‘. Um evento de exclusão de processo ocorre quando um processo é encerrado. Há uma coisa que você deve observar sobre uma consulta como esta: se você abrir o Bloco de notas e fechá-lo rapidamente (em menos de 5 segundos), é possível que o WMI perca isso e não relate como um evento.
Consulta WQL Para Eventos Alterados
Select * From __InstanceModificationEvent Within 5 Where TargetInstance Isa "Win32_Process" And TargetInstance.Name = "Notepad.exe"
Esta consulta monitora as modificações dos eventos Win32_Processe, não o evento de modificação de processo. Esta é uma distinção importante – se a entidade de processo do Windows tiver uma propriedade que não seja representada por uma classe WMI Win32_Process WMI e se essa propriedade for alterada, o WMI não relatará a alteração. Apenas as alterações Win32_Process de propriedade são retornadas como eventos WMI.
Consulta WQL Para Monitoramento Os Eventos De Um Processo
Select * From __InstanceOperationEvent Within 5 Where TargetInstance Isa "Win32_Process" And TargetInstance.Name = "Notepad.exe"
Esta consulta monitora todos os três tipos de eventos: eventos de criação, exclusão e modificação. A classe __InstanceOperationEvent é o pai para os __InstanceCreation, __InstanceDeletione __InstanceModificationaulas, e você pode usar este fato para inscrever-se a todos os três tipos de eventos ao mesmo tempo. A classe __InstanceOperationEvent é abstract(o que significa que não tem instâncias), portanto, a classe de evento real retornada por um evento é uma das classes de instância de árvore e você pode descobrir qual delas inspecionando sua propriedade__Class do sistema. Dessa forma, você pode determinar o tipo de evento.
Aqui finalizamos alguns termos de consulta de eventos por WMI. O assunto é vasto, por isso recomendo que estudem a documentação oficial da Microsoft para uma consulta mais elaborada.
Se está gostando das postagens, se inscreva em nosso site para receber mais materiais de nosso blog, é grátis, você vai ser notificado quando novas postagens forem publicadas, recebendo assim mais conteúdos de qualidades e ainda vai dar aquela força pra nossa comunidade. E não esquece de compartilhar em suas redes sociais os botões estão no final desse página.
No final dessa página temos um campo onde você é bem vindo para deixar seus comentários. Pode ser uma opinião, elogios, críticas ou correções. Pode ficar a vontade para tirar suas dúvidas ou colaborar acrescentando algo que tenhamos deixado passar desapercebido.
Sua visita e feedback é muito importante para o nosso espaço.