哪个方法调用了 IWbemObjectSink::Indicate 方法

【问题标题】:Which method made the call to IWbemObjectSink::Indicate method哪个方法调用了 IWbemObjectSink::Indicate 方法
【发布时间】:2024-05-04 05:50:02
【问题描述】:

我正在使用VS2010C++ 中开发一个应用程序。在我的代码中,我有两个WQL 查询如下:

hres = pSvc->ExecNotificationQueryAsync(
        _bstr_t("WQL"), 
        _bstr_t("SELECT * " 
            "FROM __InstanceDeletionEvent WITHIN 1 "
            "WHERE TargetInstance ISA 'Win32_Process' "), 
        WBEM_FLAG_SEND_STATUS, 
        NULL, 
        pStubSink);


     hres1 = pSvc->ExecNotificationQueryAsync(
        _bstr_t("WQL"), 
        _bstr_t("SELECT * " 
            "FROM __InstanceCreationEvent WITHIN 1 "
            "WHERE TargetInstance ISA 'Win32_Process'"), 
        WBEM_FLAG_SEND_STATUS, 
        NULL, 
        pStubSink);

在创建或删除进程时,我通过IWbemObjectSink::Indicate 方法将其名称打印到控制台中。当打印进程的名称时,我需要知道它是创建还是删除。我怎么会知道这个?有什么方法可以知道是哪个异步方法调用了Indicate 方法?

谢谢

【问题讨论】:

    标签: c++ events process wql


    【解决方案1】:

    __InstanceDeletionEvent 和 __InstanceCreationEvent 是 __InstanceOperationEvent 的子类。因此,您应该查询 __InstanceOperationEvent 的实例。然后,您将从 Sink 类中的对象(例如 pStubSink)中获取该类,以了解从哪个实例创建。查看此示例以了解如何处理类似情况:http://blogs.technet.com/b/heyscriptingguy/archive/2005/04/04/how-can-i-monitor-for-different-types-of-events-with-just-one-script.aspx

    更新1:

    __InstanceOperationEvent 是以下的超类:__InstanceDeletionEvent、__InstanceCreationEvent 和 __InstanceModificationEvent。

    pSvc->ExecNotificationQueryAsync(
        _bstr_t("WQL"), 
        _bstr_t("SELECT * FROM __InstanceOperationEvent WITHIN 1 WHERE Targetinstance ISA 'Win32_Process'"), 
        WBEM_FLAG_SEND_STATUS, 
        NULL, 
        pStubSink);

    在您的指示函数中:

    Indicate(long lObjectCount,
    IWbemClassObject **apObjArray)
{
    HRESULT hr = S_OK;
    for (int i = 0; i < lObjectCount; i++)
    {
        _variant_t myVariant;

        hr = apObjArray[i]->Get(_bstr_t(L"__Class"), 0, &myVariant, 0, 0);


        if (SUCCEEDED(hr))
        {

            std::wstring classOrigin(myVariant.bstrVal);

            if (0 == classOrigin.compare(L"__InstanceDeletionEvent") )
            {

                std::wcout << L"DELETION" << std::endl;
            }
            else if (0 == classOrigin.compare(L"__InstanceCreationEvent"))
            {

                std::wcout << L"CREATION" << std::endl;
            }
        }
    }
}

    myVariant 会说出生成事件的类(阅读说明)。

    注意:这将导致不断调用您的 pStubSink,因为进程不断被修改(__InstanceModificationEvent,例如内存/CPU 的变化)。

    UPDATE2:您还可以有两个不同的查询(以及连续的 Sink 对象),一个用于创建,一个用于删除(例如,pStubSinkCreation、pStubSinkDeletion)。这样,您 (1) 将准确地知道它何时来自创建和何时来自删除; (2) 将避免不断收到 __InstanceModificationEvent。

    【讨论】:

    • 我也试过--InstanceOperationEvent。但是当我检查类时,它输出Win32__Process,与创建或删除无关。
    • 效果很好。但是根据您的第二个建议,在Indicate 方法中在哪里使用sink 对象?
    • Indicate 方法中的 " 是什么意思,在哪里使用 sink 对象?"。是“如何知道事件是来自创建还是删除”?如果是这样,你可以用一个参数来初始化你的接收器对象来表明这一点。例如,class CSink:public IWbemObjectSink{ public: CSink(bool bCreate=true /*false=Deletion*/){mbIsCreation=bCreate;}; ~CSink(); private: bool mbIsCreation;...}。然后,您的两个“pStubSink”对象:CSink *pStubSinkCreation=new CSink(true/*Creation*/);CSink *pStubSinkDeletion=new CSink(false/*Deletion*/);。在Indicateif(mbIsCreation){...}else{...}
    猜你喜欢
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript C# Mysql Docker 算法 前端 SpringBoot Redis Vue spring .net 设计模式 .net core c++ kubernetes 数据库 机器学习 大数据 数据结构 微服务 js 人工智能 Go Android 面试 程序员 JVM 云原生 后端 ASP.net core 深度学习 CSS k8s git golang PHP devops Nginx Django React mybatis 架构 多线程 Spring Boot 云计算 LeetCode 分布式