WmiExecutionInfo
WMI 执行事件仅在调用 WMI 方法 Win32_process.create() 时发生。
属性 |
类型 |
说明 |
|---|---|---|
ClassName |
字符串 |
包含触发的方法的类 |
ClientMachineFQDN |
字符串 |
客户端计算机的完全限定域名 |
CommandLine |
字符串 |
以参数列表的形式发送给方法的命令行 |
IsLocal |
布尔值 |
确定是本地调用还是远程调用方法 |
MethodName |
字符串 |
触发的方法 |
示例
<rule> <definition> <operations> <operation type="WmiExecution" > <condition component="WmiExecutionInfo" property="CommandLine" condition="is" value="notepad.exe"/> </operation> </operations> </definition> <description> <name>WMI Execution event where argument is notepad.exe</name> <category>Default</category> </description> </rule> |
支持的行动
•WmiExecution