欢迎访问 生活随笔!
TAG聚合

生活随笔

当前位置: 首页 >

WMI技术介绍和应用——Event Provider

发布时间:2023/11/27 45 豆豆
生活随笔 收集整理的这篇文章主要介绍了 WMI技术介绍和应用——Event Provider 小编觉得挺不错的,现在分享给大家,帮大家做个参考.

        在《WMI技术介绍和应用——Instance/Method Provider》一文中,我们介绍了Instance和Method Provider的编写方法。本文我们将介绍更有意思的“事件提供者”。在《WMI技术介绍和应用——事件通知》中,我们曾经提到事件是分为两种:intrinsic event和extrinsic event。这两种事件提供者在编写上也非常类似,我们先以extrinsic event为例。(转载请指明出于breaksoftware的csdn博客)

intrinsic event provider

        之前生成工程的过程和《WMI技术介绍和应用——Instance/Method Provider》中介绍的一致,但是我们这次要新增的ATL class则不同

        在”名称“页,我们在short name中填上我们事件提供者的名称”TestEvent",其他输入框内容将自动生成。

        事件类型我们选择extrinsic event,其他不填

        在“属性”页,将Threading model设置为Both。Support选项都勾选上

        执行完之后,我们就生成了一个mof文件、一个TestEvent.h和TestEvent.cpp文件。我们继续从mof文件入手,我们申明一个事件类

[Locale(1033) : ToInstance,UUID("{E5EDE7F6-D9F9-4195-8E97-643B71F2FB91}") : ToInstance] 
class ClassEventInstance: __ExtrinsicEvent 
{
string name = "CIN";
string value = "CIV";
};

        然后注册一个事件提供者,并指定查询命令

instance of __EventProviderRegistration
{provider = $TestEvent;EventQueryList = {"select * from ClassEventInstance"};
};

        再回到cpp代码文件,首先我们要修改类名

const static WCHAR * s_pMyClassName = L"ClassEventInstance";

        其次我们要修改AccessCheck函数,删除掉这行,否则我们查询不会成功

hr = WBEM_E_ACCESS_DENIED;

        我们需要修改ProvideEvents函数,在该函数末尾新增如下逻辑

    HANDLE hThread = (HANDLE)_beginthread(ThreadRoutine, 0, this);CloseHandle(hThread);

        我们启动一个线程,用于事件的发送。我们传入this指针只是为了之后调用我们类中的一个方法。我们看下线程函数

static void ThreadRoutine(void* param) {OutputTrace("CTestEvent::ThreadRoutine");CoInitializeEx(NULL, COINIT_MULTITHREADED);CTestEvent* pThis = (CTestEvent*)(param);while(true) {Sleep(1000*2);pThis->FireEvent();}CoUninitialize();
};

        这段逻辑,我们在一个死循环中每隔两秒钟触发一次事件——FireEvent。FireEvent本来是模板自动生成的,而我们借用它实现事件的触发。这儿需要注意一个文件,本文主要讲解搭建的关键步骤,而对很多其他细节和安全问题没有做过多处理,否则就喧宾夺主了。比如本文中所提到的线程执行函数,其实存在线程安全问题,而我又不想引入COM跨线程问题,所以就如此简单粗暴的编写。

STDMETHODIMP CTestEvent::FireEvent()
{HRESULT hr = WBEM_S_NO_ERROR;ATLASSERT(m_pEventClass);CComPtr<IWbemClassObject> pInstance;hr = m_pEventClass->SpawnInstance(0, &pInstance);if(FAILED(hr)) {return hr;}CComVariant value;value.vt = VT_BSTR;value.bstrVal = CComBSTR("notepad.exe");pInstance->Put(L"name", 0, &value, 0);return m_pSink->Indicate(1, &(pInstance.p) );
}

        我们Spawn一个实例,然后填充它的一些属性,最后将该对象放入客户端可以访问的sink中。
        我们使用之前实现的查询类查询该事件

    HANDLE hEvent = CreateEvent(NULL, FALSE, FALSE, NULL);CAsynNotifyQuery<CInstanceEvent> recvnotify(L"root\\default", L"SELECT * FROM ClassEventInstance", hEvent);recvnotify.ExcuteFun();

        我们即可以看到结果

extrinsic event provider        

        extrinsic event provider实现讲完了,我们再讲讲intrinsic event provider。工程向导方面和extrinsic event provider基本相同,只是在WMI Class页中选择intrinsic event。我们对新的provider取名为IntrinsicEvent。我们也从mof入手,看看怎么修改

[
dynamic : ToInstance, 
provider("IntrinsicEvent") : ToInstance, // uses the TestInstance Provider
ClassContext("whatever!"),          // information is dynamically// supported by the provider
DisplayName("IntrinsicClassInstance"): ToInstance
]                                    class IntrinsicClassInstance 
{
[key]
string name = "CIN";
[PropertyContext("IntrinsicClassInstance_Member")]
string value = "CIV";
};

        首先我们定义Event的类名——IntrinsicClassInstance,并申明其有两个属性——name和value。其次我们我们修改下事件提供者注册对象

instance of __EventProviderRegistration
{provider = $IntrinsicEvent;EventQueryList = {"select * from __InstanceCreationEvent where TargetInstance isa \"IntrinsicClassInstance\""};
};

        从WQL的写法我们可以发现,这种写法和检测进程创建的Win32_Process类类似,这就是内部(Intrinsic)事件的特点。cpp的修改和extrinsic event provider中介绍的过程类似,只是Intrinsic没有FireEvent方法,那我们就自己申明和定义一个

STDMETHODIMP CIntrinsicEvent::FireEvent()
{HRESULT hr = WBEM_S_NO_ERROR;ATLASSERT(m_pEventClass);CComPtr<IWbemClassObject> pInstance;hr = m_pDataClass->SpawnInstance(0, &pInstance);if(FAILED(hr)) {OutputTrace("CIntrinsicEvent::FireEvent1");return hr;}CComVariant value;value.vt = VT_BSTR;value.bstrVal = CComBSTR("notepad.exe");pInstance->Put(L"name", 0, &value, 0);CComPtr<IWbemClassObject> pEventInstance;hr = m_pEventClass->SpawnInstance(0, &pEventInstance);if(FAILED(hr)) {return hr;}CComVariant varTargetInst(pInstance);pEventInstance->Put(L"TargetInstance", 0, &varTargetInst, 0);return m_pSink->Indicate(1, &(pEventInstance.p) );
}

        我们将新生成的实例放入到pEventInstance实例的"TargetInstance"中,这也和上面的WQL的“TargetInstance isa \"IntrinsicClassInstance\"”相对应。pEventInstance实例的类是我们在模板基础上新增的,我们要修改Initialize函数,新增

hr = m_pNamespace->GetObject(CComBSTR("__InstanceCreationEvent"), 0, pCtx, //passing IWbemContext pointer to prevent deadlocks&m_pEventClass, NULL);
if (FAILED(hr)) {return hr;
}

       我们使用如下代码访问该事件

    HANDLE hEvent = CreateEvent(NULL, FALSE, FALSE, NULL);CAsynNotifyQuery<CInstanceEvent> recvnotify(L"root\\default", L"SELECT * FROM __InstanceCreationEvent WITHIN 1 WHERE TargetInstance ISA 'IntrinsicClassInstance'", hEvent);recvnotify.ExcuteFun();

        我们可以得到如下结果


        工程链接:http://pan.baidu.com/s/1o6QcgPW 密码:4l5v

总结

以上是生活随笔为你收集整理的WMI技术介绍和应用——Event Provider的全部内容,希望文章能够帮你解决所遇到的问题。

如果觉得生活随笔网站内容还不错,欢迎将生活随笔推荐给好友。