调试(跟踪) WMI查询？

Question

我有一个第三方程序，它向本地WMI提供程序发出WMI查询(所以它不使用DCOM，所以不使用包嗅探器)。我想找出这些查询是什么。

它也运行在XP上，所以不幸的是，新的Vista WMI跟踪基础设施也被淘汰了。

有什么建议吗？

Answer 1

您是否尝试过使用wmimgmt.msc将WMI日志记录级别设置为详细？(在MSDN Logging WMI Activity页面上有更多信息)

然后，您应该看到记录到%windir%\system32\wbem\logs\wbemcore.log文件中的查询。

-dave

Answer 2

我相信WMI是使用DCOM进行通信的，你可以使用WireShark来捕获DCOM数据包。我相信DCOM的WireShark中的分析器是可用的，尽管它仍然可能有助于引用this article (旧的，但仍然应该是相关的)。

这对于本地主机的WMI查询不起作用，因此您需要确保它正在查询远程计算机。

如果您确实想要记录本地查询，请查看记录WMI查询的this MSDN article。