当前位置：首页 > 编程日记 > 正文

WMI技术介绍和应用——Event Consumer Provider

编程日记 2024-12-09 22:30:00

在《WMI技术介绍和应用——Event Provider》和《WMI技术介绍和应用——接收事件》中，我们展现了如何处理和事件相关的WMI知识。而《WMI技术介绍和应用——接收事件》一文则主要讲解了如何查询事件，这种查询是在我们进程存在时发生的，一旦我们进程不存在了，这种查询也无法执行。我们将这种行为称为消费事件，我们执行查询的进程叫做“事件临时消费者”。相对应的，WMI还存在“事件永久消费者”，它并不寄生我们的编写的进程中。本文主要讲解“事件永久消费者”的编写方法。（转载请指明出于breaksoftware的csdn博客）

由于VS2005没有这种模板，所以我便使用事件提供者模板生成了一个工程，并对这个工程进行改造。我们先从mof文件出发

由于我们不需要注册事件提供者，所以我们删除instance of __EventProviderRegistration内容。

我们先要声明一个事件消费类

class TestEventConsumer : __EventConsumer 
{[key] string name;[write] string value;
};

实例化该类

instance of TestEventConsumer as $Consumer
{name = "TestEventConsumer_Name1";value = "TestEventConsumer_Value";
};

再注册一个事件消费者提供者实例

instance of __EventConsumerProviderRegistration
{Provider = $EventConsumer;ConsumerClassNames = {"TestEventConsumer"};
};

ConsumerClassNames是一个数组，它记录了事件消费者名。

然后要实例化一个筛选器

instance of __EventFilter as $Filter
{Name = "TestEventFilter";QueryLanguage = "WQL";Query = "SELECT * FROM __InstanceCreationEvent WITHIN 1 WHERE TargetInstance ISA 'Win32_USBCOntrollerDevice'";EventNamespace = "\\\\.\\root\\CIMV2";
};

其中定义了筛选器的名字、查询的语言、查询的命令和需要查询的命名空间。如果没有指定EventNamespace，则使用该mof中默认的命名空间。在本例中，我们要监控USB设备的创建，故要监控CIMV2空间。这儿需要注意的是，我们可以Query内部事件或者外部事件。

最后我们将筛选器绑定到消费者上。

instance of __FilterToConsumerBinding
{Consumer = $Consumer;Filter = $Filter;
};

如此，我们便将mof文件构建好了。

我们再回到cpp文件中，我们首先要定义一个事件消费者Sink

class CEventConsumerSink:public CComObjectRootEx<CComMultiThreadModel>,public IWbemUnboundObjectSink 
{ 
public:CEventConsumerSink() {}~CEventConsumerSink(){}BEGIN_COM_MAP(CEventConsumerSink) COM_INTERFACE_ENTRY(IWbemUnboundObjectSink) END_COM_MAP() // IWbemUnboundObjectSink 
public: STDMETHOD(IndicateToConsumer)(IWbemClassObject* pLogicalConsumer, long lNumObjects, IWbemClassObject** apObjects);
};

我们要实现IndicateToConsumer方法，将事件传到到该方法中处理

STDMETHODIMP CEventConsumerSink::IndicateToConsumer(IWbemClassObject* pLogicalConsumer, long lNumObjects, IWbemClassObject** apObjects)
{ObjectLock lock(this); HRESULT hr = WBEM_S_NO_ERROR; CComVariant varClass; hr = pLogicalConsumer->Get(CComBSTR("__CLASS"), 0, &varClass, 0, 0);if (0 == _wcsicmp(V_BSTR(&varClass), L"TestEventConsumer")) {for (long lIndex = 0; lIndex < lNumObjects; lIndex++) {CComVariant varEventType;hr = apObjects[lIndex]->Get(CComBSTR("TargetInstance"), 0, &varEventType, 0, 0);CComQIPtr<IWbemClassObject> spEvent = V_UNKNOWN(&varEventType);CComVariant varEventTypeClass;hr = spEvent->Get(CComBSTR("__CLASS"), 0, &varEventTypeClass, 0, 0);OutputTrace("CEventConsumerSink::IndicateToConsumer");    }  }else {hr = WBEM_E_NOT_FOUND;}return hr; 
}

这段逻辑，我们获取事件名称，并检测其是否是我们需要监控的事件。如果是，则遍历事件数组——发来的事件是一批的。

然后我们改造主类。事件消费者提供者不需要继承IWbemInstProviderImpl，但是要继承IWbemEventConsumerProvider。于是我们在模板生成的代码中将其他无关的方法去掉

class ATL_NO_VTABLE CEventConsumer : public CComObjectRootEx<CComMultiThreadModel>,public CComCoClass<CEventConsumer, &CLSID_EventConsumer>,public IWbemProviderInit,public IWbemEventConsumerProvider
{    public:CEventConsumer(){                  }~CEventConsumer(){}DECLARE_REGISTRY_RESOURCEID(IDR_EVENTCONSUMER)DECLARE_NOT_AGGREGATABLE(CEventConsumer)BEGIN_COM_MAP(CEventConsumer)COM_INTERFACE_ENTRY(IWbemProviderInit)COM_INTERFACE_ENTRY(IWbemEventConsumerProvider)END_COM_MAP()//IWbemProviderInitHRESULT STDMETHODCALLTYPE Initialize( __in_opt LPWSTR pszUser,LONG lFlags,__in LPWSTR pszNamespace,__in_opt LPWSTR pszLocale,IWbemServices *pNamespace,IWbemContext *pCtx,IWbemProviderInitSink *pInitSink);// IWbemEventConsumerProviderHRESULT STDMETHODCALLTYPE FindConsumer( /* [in] */ IWbemClassObject *pLogicalConsumer,/* [out] */ IWbemUnboundObjectSink **ppConsumer);};

Initialize中删除模板生成的多余代码就可以了，我们主要要实现的就是FindConsumer方法

STDMETHODIMP CEventConsumer::FindConsumer( /* [in] */ IWbemClassObject *pLogicalConsumer,/* [out] */ IWbemUnboundObjectSink **ppConsumer)
{HRESULT hr = WBEM_E_NOT_FOUND;*ppConsumer = NULL;CComVariant varClass;hr = pLogicalConsumer->Get(L"__Class", 0, &varClass, 0, 0);if (0 == _wcsicmp(V_BSTR(&varClass), L"TestEventConsumer")) {CComObject<CEventConsumerSink>* pEventSink = NULL;hr = CComObject<CEventConsumerSink>::CreateInstance(&pEventSink);if (FAILED(hr)) {return hr;}hr = pEventSink->QueryInterface(IID_IWbemUnboundObjectSink, (LPVOID*)ppConsumer);if (FAILED(hr)) {return hr;}}else {hr = WBEM_E_NOT_FOUND;}return hr;
}

这段逻辑我们在检测完消费者类是否正确后，就去获取消费者指针。

如此Event Consumer Provider便搭建起来了。

https://www.dkcj.cn/info/31129.html

WMI技术介绍和应用——Event Consumer Provider

相关文章：

shell练习四

WMI技术介绍和应用——总结（完）

2020年，大火的Python和JavaScript是否会被取而代之？

WaveSwipeRefreshLayout

Google Test(GTest)使用方法和源码解析——概况

Reddit票选 | 2019年绝对不能错过的机器学习论文

ASP中的常用服务器检测源码

选IDC房时，用脚本截取丢失包和rtt的值作比对

Google Test(GTest)使用方法和源码解析——自动调度机制分析

D3D中简单的截图方法 (转)

2019年，自动化机器学习AutoML技术还火吗？ | BDTC 2019

第一次使用51cto博客

Google Test(GTest)使用方法和源码解析——结果统计机制分析

贾扬清感谢信：阿里开源10年，致敬千万开源人

热烈庆祝我国神七发射成功！

云计算设计模式（十）——守门员模式

“不会Linux，怎么干程序员？”骨灰级工程师：干啥都不行！

Google Test(GTest)使用方法和源码解析——Listener技术分析和应用

SSH连接不上Linux的解决方法

熬夜翻译完的PureFTPd配置文件

挑战NLP、量子计算难题，300多支本科生队伍同场角逐，2020 ASC超算竞赛一触即发...

Google Test(GTest)使用方法和源码解析——断言的使用方法和解析

精品软件推荐硬盘物理序列号修改专家

知识图谱实体链接是什么？一份“由浅入深”的综述

Google Test(GTest)使用方法和源码解析——预处理技术分析和应用

出色管理者的时间管理

精品软件推荐瑞星杀毒软件安全软件

Google Test(GTest)使用方法和源码解析——自定义输出技术的分析和应用

五年循环期限已到，我们又要步入“AI寒冬”了吗？

相知用心.相爱用情