哪个方法调用了 IWbemObjectSink::Indicate 方法
Which method made the call to IWbemObjectSink::Indicate method
我正在 C++ 使用 VS2010 开发应用程序。在我的代码中,我有两个 WQL 查询如下:
hres = pSvc->ExecNotificationQueryAsync(
_bstr_t("WQL"),
_bstr_t("SELECT * "
"FROM __InstanceDeletionEvent WITHIN 1 "
"WHERE TargetInstance ISA 'Win32_Process' "),
WBEM_FLAG_SEND_STATUS,
NULL,
pStubSink);
hres1 = pSvc->ExecNotificationQueryAsync(
_bstr_t("WQL"),
_bstr_t("SELECT * "
"FROM __InstanceCreationEvent WITHIN 1 "
"WHERE TargetInstance ISA 'Win32_Process'"),
WBEM_FLAG_SEND_STATUS,
NULL,
pStubSink);
创建或删除进程时,我通过 IWbemObjectSink::Indicate 方法将其名称打印到控制台中。当打印进程名称时,我需要知道它是被创建还是被删除。我怎么知道这个?有什么方法可以知道哪个异步方法调用了 Indicate 方法?
谢谢
__InstanceDeletionEvent 和 __InstanceCreationEvent 是 __InstanceOperationEvent 的子class。因此,您应该查询 __InstanceOperationEvent 的实例。然后,您将从 Sink Class 中的对象(例如 pStubSink)中获取 Class,以了解正在创建哪个实例。查看此示例以了解如何处理类似情况:http://blogs.technet.com/b/heyscriptingguy/archive/2005/04/04/how-can-i-monitor-for-different-types-of-events-with-just-one-script.aspx
更新1:
__InstanceOperationEvent 是 class 的超级 class:__InstanceDeletionEvent、__InstanceCreationEvent 和 __InstanceModificationEvent.
pSvc->ExecNotificationQueryAsync(
_bstr_t("WQL"),
_bstr_t("SELECT * FROM __InstanceOperationEvent WITHIN 1 WHERE Targetinstance ISA 'Win32_Process'"),
WBEM_FLAG_SEND_STATUS,
NULL,
pStubSink);
在您的 Indicate 函数中:
Indicate(long lObjectCount,
IWbemClassObject **apObjArray)
{
HRESULT hr = S_OK;
for (int i = 0; i < lObjectCount; i++)
{
_variant_t myVariant;
hr = apObjArray[i]->Get(_bstr_t(L"__Class"), 0, &myVariant, 0, 0);
if (SUCCEEDED(hr))
{
std::wstring classOrigin(myVariant.bstrVal);
if (0 == classOrigin.compare(L"__InstanceDeletionEvent") )
{
std::wcout << L"DELETION" << std::endl;
}
else if (0 == classOrigin.compare(L"__InstanceCreationEvent"))
{
std::wcout << L"CREATION" << std::endl;
}
}
}
}
myVariant 将说明生成事件的 class(阅读注释)。
注意:这将导致不断调用您的 pStubSink,因为进程不断被修改(__InstanceModificationEvent,例如 memory/CPU 中的更改) .
UPDATE2: 您还可以有两个不同的查询(以及相应的 Sink 对象),一个用于创建,一个用于删除(例如,pStubSinkCreation、pStubSinkDeletion)。通过这种方式,您 (1) 将确切地知道它何时来自创建以及何时来自删除; (2) 会避免不断收到 __InstanceModificationEvent.
我正在 C++ 使用 VS2010 开发应用程序。在我的代码中,我有两个 WQL 查询如下:
hres = pSvc->ExecNotificationQueryAsync(
_bstr_t("WQL"),
_bstr_t("SELECT * "
"FROM __InstanceDeletionEvent WITHIN 1 "
"WHERE TargetInstance ISA 'Win32_Process' "),
WBEM_FLAG_SEND_STATUS,
NULL,
pStubSink);
hres1 = pSvc->ExecNotificationQueryAsync(
_bstr_t("WQL"),
_bstr_t("SELECT * "
"FROM __InstanceCreationEvent WITHIN 1 "
"WHERE TargetInstance ISA 'Win32_Process'"),
WBEM_FLAG_SEND_STATUS,
NULL,
pStubSink);
创建或删除进程时,我通过 IWbemObjectSink::Indicate 方法将其名称打印到控制台中。当打印进程名称时,我需要知道它是被创建还是被删除。我怎么知道这个?有什么方法可以知道哪个异步方法调用了 Indicate 方法?
谢谢
__InstanceDeletionEvent 和 __InstanceCreationEvent 是 __InstanceOperationEvent 的子class。因此,您应该查询 __InstanceOperationEvent 的实例。然后,您将从 Sink Class 中的对象(例如 pStubSink)中获取 Class,以了解正在创建哪个实例。查看此示例以了解如何处理类似情况:http://blogs.technet.com/b/heyscriptingguy/archive/2005/04/04/how-can-i-monitor-for-different-types-of-events-with-just-one-script.aspx
更新1:
__InstanceOperationEvent 是 class 的超级 class:__InstanceDeletionEvent、__InstanceCreationEvent 和 __InstanceModificationEvent.
pSvc->ExecNotificationQueryAsync(
_bstr_t("WQL"),
_bstr_t("SELECT * FROM __InstanceOperationEvent WITHIN 1 WHERE Targetinstance ISA 'Win32_Process'"),
WBEM_FLAG_SEND_STATUS,
NULL,
pStubSink);
在您的 Indicate 函数中:
Indicate(long lObjectCount,
IWbemClassObject **apObjArray)
{
HRESULT hr = S_OK;
for (int i = 0; i < lObjectCount; i++)
{
_variant_t myVariant;
hr = apObjArray[i]->Get(_bstr_t(L"__Class"), 0, &myVariant, 0, 0);
if (SUCCEEDED(hr))
{
std::wstring classOrigin(myVariant.bstrVal);
if (0 == classOrigin.compare(L"__InstanceDeletionEvent") )
{
std::wcout << L"DELETION" << std::endl;
}
else if (0 == classOrigin.compare(L"__InstanceCreationEvent"))
{
std::wcout << L"CREATION" << std::endl;
}
}
}
}
myVariant 将说明生成事件的 class(阅读注释)。
注意:这将导致不断调用您的 pStubSink,因为进程不断被修改(__InstanceModificationEvent,例如 memory/CPU 中的更改) .
UPDATE2: 您还可以有两个不同的查询(以及相应的 Sink 对象),一个用于创建,一个用于删除(例如,pStubSinkCreation、pStubSinkDeletion)。通过这种方式,您 (1) 将确切地知道它何时来自创建以及何时来自删除; (2) 会避免不断收到 __InstanceModificationEvent.