c't 3/2019
S. 178
Praxis
WMI-Events
Aufmacherbild

Nichts mehr verschlafen

Windows mit WMI-Events überwachen

Über die WMI-Schnittstelle verrät Windows Angaben zu laufenden Prozessen, freiem Speicher und vielem mehr. Ein paar Zeilen PowerShell-Skript entlocken ihr sogar Benachrichtigungen über Änderungen am Systemzustand.

Die universelle, systemweite Konfigurationsdatenbank WMI (Windows Management Instrumentation) ist in jeder Windows-Installation enthalten. Administratoren und Power-User schätzen sie, weil sie unendlich viele Informationen zum Systemzustand über eine einheitliche Schnittstelle zugänglich macht, die sich zudem skripten lässt und Daten nicht nur auf dem lokalen Rechner, sondern auch übers Netzwerk bereitstellt. Weithin unbekannt ist allerdings, dass WMI auch selbstständig über Konfigurationsänderungen informieren oder beim Eintreten kritischer Zustände automatische Abläufe starten kann. Möglich machen das die sogenannten WMI-Events.

Im Folgenden zeigen wir, wie man sich die WMI-Events mithilfe der PowerShell zunutze macht. Den grundlegenden Umgang mit WMI aus dieser Umgebung heraus haben wir in der letzten c’t beschrieben [1]; die dort erwähnten Strukturen und Befehle setzen wir hier als bekannt voraus.

Kommentieren