Powershell+WMI事件订阅

最新推荐文章于 2023-08-03 18:30:00 发布
VIP文章 最新推荐文章于 2023-08-03 18:30:00 发布
阅读量1.7k 收藏 4
点赞数
分类专栏: PowerShell 文章标签: Powershell WMI 事件订阅
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/stisom/article/details/81343808
版权

 

业务场景:添加WMI事件实现对Winrm service的监控,当Winrm 异常停止时,重新启动.

BG: 在Powershell 出生之前, WMI是无可替代的远程(本地)系统管理工具。当下Powershell 已经慢慢取代了ActiveScript+WMI, 然而不可否认WMI依旧是WINDOWS系统管理的利器。

大家知道DCOM是最初WMI通讯协议,RPC也是饱受黑客眷顾的服务。而随着Winrm的普及已经对SSL/TLS的支持,管理人员更加青睐于基于Winrm通讯协议的远程管理方式。当WINRM成为了最主要的管理方式,甚至取代了RDP。为了防止因为IIS的宕机,相关服务crash而导致WINRM 服务不可用带来的管理工作的不便.  便有了此业务场景

 

查找Win32_service的元事件

考虑目标事件应该属于系统事件,并且是由确定实例发出的,可以先用下面的命令查询相应的CimClass

Get-CimClass -ClassName "__*Event" -PropertyName 'TargetInstance'


   NameSpace: ROOT/cimv2

CimClassName                        CimClassMethods      CimClassProperties                                                      
------------                        ---------------      ------------------                                                      
__InstanceOperationEvent
最低0.47元/天 解锁文章
stisom
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PowerEvents:PowerEvents是一个PowerShell模块,可帮助注册WMI永久事件订阅
02-04
重要提示:开始使用: 请阅读模块文件夹中包含的文档 观看 查看\ Samples文件夹中的示例代码 什么是PowerEvents? PowerEvents是Windows PowerShell模块,旨在简化创建,更新和删除WMI(Windows Management Instrumentation)永久事件注册的过程。 PowerEvents使创建WMI事件过滤器(定义要捕获的事件)和事件使用者(事件的响应者)变得容易,然后将它们绑定在一起以启动事件流。 通过利用永久事件注册,您可以在工作站或服务器上执行高级监视功能,否则将需要实施企业监视产品。 由于WMI提供的信息极其丰富,因此可以使用
windows权限维持方法详解
yy
01-23 3361
在获取服务器权限后,为了防止服务器管理员发现和修补漏洞而导致对服务器权限的丢失,测试人员往往需要采取一些手段来实现对目标服务器的持久化访问。 权限持久化(权限维持)技术就是包括任何可以被测试人员用来在系统重启、更改用凭据或其他可能造成访问中断的情况发生时保持对系统的访问技术。
MSSQL/WMI/PowerShell结合篇(一)简介
weixin_34203426的博客
09-15 180
本文要介绍Windows的WMIPowerShell实现实时告警,如若觉得麻烦,可用MSSQL的WMI alerts,相对更为简单。为什么考虑MSSQL与WMIPowerShell三者结合?它们可以做什么? WMI/PowerShell都是Windows的插件及功能,用它们来实现MSSQL监控、自动化作业等等,无疑是最简单方便的。为什么不考虑用监控工具?...
PowerShell 2.0之使用WMI管理Windows(一)WMI基础
weixin_34242819的博客
12-26 192
管理大型的异构网络非常繁琐,而在本地计算机上用不同的自动化接口,如PowerShell、COM对象,甚至基于.NET的程序管理单独的程序和服务则容易得多。关键是存在于混合网络中的分布式系统,即如何操作防火墙后面的设备。如果它只是一种硬件设备,如路由器,则使用WMI(Windows Management Instrumentation)即可。WMI是协同工作的一系列技术,可以提供网络对象的统一访问形...
内网渗透 | powershell&wmic详解
1ance's blog
11-23 2176
文章目录引子PowerShell0x001基本概念0x002命令格式0x003基本使用0x004常用命令0x005powershell脚本0x006参考文章WMIC0x001基本概念0x002命令格式0x003常用命令1、目标系统相关2、用户管理0x004参考文章 引子 之前在内网渗透,免杀中到处能看到powershellwmic的身影,功能还是非常强大的,但一直没有系统的学习过他们,对他们还是一知半解,现在有空了系统的学习下并记录学习笔记。 PowerShell 0x001基本概念 Windows
WMI 订阅利用之分析总结
ZL_1618的博客
08-03 179
WMI(Windows Management Instrumentation,Windows 管理规范)是一项核心的 Windows 管理技术。用户可以通过WMI 管理本地和远程计算机。Windows 为远程传输 WMI 数据提供了两个可用的协议,即分布式组件对象模型(Distributed ComponentObject Model,DCOM)和 Windows 远程管理(Windows Remote Management,WinRM),使得 WMI
WMI系列--WMI订阅事件
sxr__nc的博客
05-31 1043
内部事件表示的是创建、修改和删除任何 WMI 类,对象或命名空间的事件。所谓本地事件是指运行在本地上下文环境当中的单个进程的事件,因此本地事件订阅的生命周期是进程生命周期,相比较而言,永久性事件订阅可以在任何事件接收WMI事件,其保存在。__InstanceModificationEvent系统类报告实例修改事件,这是实例在命名空间中更改时生成的内部事件类型。系统类的类,它表示了在事件触发时的动作。事件分为两类,分别是本地事件订阅和永久性事件订阅事件中筛选出我们感兴趣的事件,这个过程通过。
WMI技术介绍和应用——接收事件
方亮的专栏
01-19 9109
        时隔两三年,再次更新WMI系列博文。好在功能在三年前就已经实现了,现在只要补充些实例即可。         之前介绍的基本都是查询静态数据,而本文将要介绍非常有意思的事件接收功能。(转载请指明出于breaksoftware的csdn博客)     监控进程创建和死亡         首先提一个问题,如何监控系统创建进程?比如有些软件会监控竞品是否创建,如果创建了就通知用户“不...
Exchange 2013 PowerShell认识命名空间
weixin_34146410的博客
01-23 138
管道的基本概念就是从一条命令的输入到另一个命令。当然他们之间的传递不是纯文本的,所有,有了管道,我们可以通过PowerShell完成非常复杂的任务。 我们可以是使用一条命令,根据一个OU或者一个数据库下的所有邮箱用户,设定办地点,例如下面这条命,我会把邮箱用户位于数据库”Mailbox Darabase 1014271532”下的所有用户的办公地点更...
权限维持简单总结
Aiwin的博客
08-17 3788
权限维持简单总结
Invoke-WMIpersist:创建WMI事件订阅持久性的Powershell脚本
05-18
调用WMIpersist
Powershell中使用WMI工具例子
01-20
WMI是一个强大的技术:只需要简单的指定一个WMI类名就能返回它类的所有实例: 代码如下: PS> Get-WmiObject -Class Win32_BIOS SMBIOSBIOSVersion : 76CN27WW Manufacturer : LENOVO Name : 76CN27WW Serial...
PowerShell and WMI
03-03
Power Shell and WMI.
Powershell and wmi
03-16
比Doc好用的脚本
springboot(酒店管理系统)
04-25
开发语言:Java JDK版本:JDK1.8(或11) 服务器:tomcat 数据库:mysql 5.6/5.7(或8.0) 数据库工具:Navicat 开发软件:idea 依赖管理包:Maven 代码+数据库保证完整可用,可提供远程调试并指导运行服务(额外付费)~ 如果对系统的中的某些部分感到不合适可提供修改服务,比如题目、界面、功能等等... 声明: 1.项目已经调试过,完美运行 2.需要远程帮忙部署项目,需要额外付费 3.本项目有演示视频,如果需要观看,请联系我 4.调试过程中可帮忙安装IDEA,eclipse,MySQL,JDK,Tomcat等软件 重点: 需要其他Java源码联系我,更多源码任你选,你想要的源码我都有! 需要加v19306446185
BP神经网络matlab实例.doc
最新发布
04-25
数学模型算法
设计.zip
04-25
设计.zip
基于 Spring Cloud 组件构建的分布式服务架构
04-25
Java SSM项目是一种使用Java语言和SSM框架(Spring + Spring MVC + MyBatis)开发的Web应用程序。SSM是一种常用的Java开发框架组合,它结合了Spring框架、Spring MVC框架和MyBatis框架的优点,能够快速构建可靠、高效的企业级应用。 1. Spring框架:Spring是一个轻量级的Java开发框架,提供了丰富的功能和模块,用于开发企业级应用。它包括IoC(Inverse of Control,控制反转)容器、AOP(Aspect-Oriented Programming,面向切面编程)等特性,可以简化开发过程、提高代码的可维护性和可测试性。 2. Spring MVC框架:Spring MVC是基于Spring框架的Web框架,用于开发Web应用程序。它采用MVC(Model-View-Controller,模型-视图-控制器)的架构模式,将应用程序分为模型层、视图层和控制器层,提供了处理请求、渲染视图和管理流程的功能。 3. MyBatis框架:MyBatis是一个持久层框架,用于与数据库进行交互。它提供了一种将数据库操作与Java对象映射起来的方式,避免了手动编写繁琐的SQL语句,并提供了事务管理和缓存等功能,简化了数据库访问的过程
【微信小程序毕业设计】书店系统开发项目(源码+演示视频+说明).rar
04-25
【微信小程序毕业设计】书店系统开发项目(源码+演示视频+说明).rar 【项目技术】 微信小程序开发工具+java后端+mysql 【演示视频-编号:246】 https://pan.quark.cn/s/cb634e7c02b5 【实现功能】 用户信息管理,图书信息管理,图书类型管理,图书留言管理,论坛信息管理等
powershell+拷贝
10-09
好的,你的问题是:“如何在 PowerShell 中进行文件拷贝操作?” 回答: 在 PowerShell 中,可以使用 `Copy-Item` 命令进行文件拷贝操作。具体语法为: ``` Copy-Item [-Path] []> [[-Destination] ] [-Container] ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值