WmiExecutionInfo
Подія виконання WMI відбувається тільки під час виклику методу Win32_process.create().
Властивість |
Тип |
Опис |
|---|---|---|
ClassName |
Рядок |
Клас, що містить активований метод |
ClientMachineFQDN |
Рядок |
Повне доменне ім’я клієнтського комп’ютера |
CommandLine |
Рядок |
Командний рядок, надісланий у метод як список аргументів |
IsLocal |
Логічне значення |
Визначає спосіб виклику методу (локально чи віддалено) |
MethodName |
Рядок |
Метод, який було активовано |
Приклад
<rule> <definition> <operations> <operation type="WmiExecution" > <condition component="WmiExecutionInfo" property="CommandLine" condition="is" value="notepad.exe"/> </operation> </operations> </definition> <description> <name>WMI Execution event where argument is notepad.exe</name> <category>Default</category> </description> </rule> |
Підтримувані операції
•WmiExecution