De 10 bästa övervakningsverktygen för Windows Management Instrumentation (WMI)

De bästa övervakningsverktygen för Windows Management Instrumentation (WMI)


Windows Management Instrumentation (WMI) har varit en komponent i alla Windows-versioner sedan Windows 2000. Det är ett gränssnitt genom vilket applikationer kan driva aviseringar till datorns användare.

Det är en del av alla smaker av Windows, inklusive Windows Server. Denna funktion är inte begränsad till Microsofts verktyg och operativsystemelement. Alla programutvecklare kan inkludera WMI-aviseringar i ett program.

Om du inte har tid att läsa hela inlägget är det här vår lista över de tio bästa WMI-övervakningsverktygen:

  1. SolarWinds WMI Monitor med server- och applikationsmonitor (GRATIS PRÖVNING) Specialiserar WMI-skärmen som en del av servern och applikationsmonitorn, som körs på Windows Server.
  2. Paessler WMI Service Sensor med PRTG WMI-skärm integrerad i den tre-i-ett PRTG, som övervakar nätverk, servrar och applikationer. Kör på Windows Server.
  3. Sapien WMI Explorer Fördjupad WMI- och Powershell-bildskärm för teknik-kunniga.
  4. Nagios XI Omfattande nätverksövervakningssystem med WMI-plug-ins tillgängliga. Kör på Windows och Linux.
  5. WMI Explorer Gratis WMI-dataläsare tillgänglig på GitHub.
  6. Adrem gratis WMI-verktyg Gratis WMI-datavisare och händelselogshanterare.
  7. Hyena WMI Inventory Reporting Tool Del av ett analyspaket för operativsystem. Detta verktyg har stora datainsamlingsfunktioner.
  8. NirSoft Simple WMI Viewer WMI-datavisare med skriptgränssnitt.
  9. Goverlan WMIX Gratis WMI-datainsamlare med en inbyggd WQL-frågeställare.
  10. Powershell WMI Explorer WMI-datainsamlare som använder Powershell för att hämta information.

Hur fungerar WMI?

WMI-mekanismen är baserad på principer utformade av Distribuerad arbetsgrupp (DMTF) som definierades i två publicerade protokoll:  Webbaserad företagsledning (WBEM) och den Vanlig informationsmodell (CIM). I grund och botten gör de det möjligt för bakgrundsuppgifter att komma igenom den ständigt drivande skrivbordsmiljön genom att inkludera en rutin för meddelandekontroll i miljöns skrivbordshanteringsprogram.

Rutinen tillhandahåller en tjänst som liknar ett duvahålssystem. Program som vill få sina aviseringar visas på skrivbordet placerar dem i ett specifikt minneområde. När Desktop-programmet cyklar tillbaka till den punkt som instruerar det att leta efter meddelanden, kommer alla väntande aviseringar att behandlas i tur och ordning och visas i den expanderbara panelen till höger om skrivbordet.

Problem med WMI

Skrivbordsområdet som innehåller "publicerade" meddelanden kallas Action Center. När alla meddelanden har behandlats visar skrivbordet en varning till användaren som informerar om förekomsten av aviseringar i sidopanelen. Utformningen av ikonen som ger åtkomst till Action Center ändras också för att visa närvaron av olästa aviseringar. Den här ikonen är en fyrkantig pratbubbla som är ihålig om det inte finns några olästa aviseringar och om de finns solida. Dessa två kommunikationsmetoder tillåter inte nödvändigtvis användaren att se dessa aviseringar.

Action Center är inte permanent synligt, och meddelanden läses därför bara om användaren väljer att öppna sidopanelen. Antingen avsiktligt eller genom glömska, användaren kanske aldrig öppnar Action Center och så kanske aldrig läsa dessa aviseringar. En snabbmeny på meddelandesymbolen i systemfältet gör det också möjligt för användaren att spola aviseringarna från Action Center oavsett om de har lästs eller inte.

Användningen av WMI-meddelanden är en användbar "glöm mig inte" -kanal för utvecklarna av kommersiell programvara och det är det också möjligt för webbplatser att driva aviseringar via WMI via WBEM. Detta innebär att meddelandesystemet är lite överutnyttjat som en metod för att påminna potentiella kunder om en produkts tillgänglighet. Det har blivit en viktig marknadsföringskanal. När människor tenderar att motstå försäljningsplatser har de blivit försäkrade till fördelarna med Action Center. Det kan bli fullt av "skräppost", så det är inte ovanligt att användare regelbundet tömmer aviseringarna från Action Center utan att läsa någon av dem, mycket på det sättet att de tar bort allt innehåll i Skräp mappen i deras e-postsystem.

Användningar för WMI

Att bortse från meddelanden från Action Center är synd, särskilt i kommersiella situationer. WMI används av ett antal viktiga affärsapplikationer och till och med nätverksadministrationsfunktioner skickar WMI-aviseringar. SNMP kan till exempel ställas in för att behandla varningar till Action Center via WMI. Så, du kan använda WMI mycket mer effektivt för att hjälpa dig hantera ditt nätverk och också för att varna slutanvändare om fel på deras enheter.

WMI innehåller API: er och om du har programmeringsstöd kan du använda detta system för att kommunicera med slutanvändare via varningar. Men för att förändra kulturen och uppmuntra användare att släppa sina fördomar mot Action Center som ett slöseri med tid, du måste filtrera bort irrelevanta meddelanden och marknadsföringsprogram.

WMI-verktyg

Du kan utnyttja WMI-aviseringar för att få information på din dator, din server eller ditt nätverk om du kan filtrera och hantera dessa meddelanden korrekt. Tyvärr, Action Center inkluderar inga kontroller. Det finns emellertid ett antal användbara WMI-assistenter på marknaden som kan hjälpa dig att utnyttja informationen i WMI-aviseringar utan att behöva vada genom skräppost.

Följande avsnitt förklarar fördelarna med vart och ett av dessa verktyg.

Bästa WMI-övervakningsverktyg

1. SolarWinds WMI Monitor med server och applikationsmonitor (GRATIS PRÖVNING)

De 10 bästa övervakningsverktygen för Windows Management Instrumentation (WMI)

SolarWinds producerar en rad utmärkta infrastrukturövervakningsverktyg och dess Server- och applikationsmonitor innehåller ett WMI-övervakningsverktyg. Men det är en betald produkt och du kan bara få SolarWinds WMI-expertis genom att ladda ner gratis WMI Monitor. De gratis verktyg är inte ett stycke klippt ut från servern och applikationsmonitorn. Det är en helt separat programvara utvecklad från grunden som ett fristående verktyg.

Detta verktyg körs i alla Windows-miljöer och är permanent fritt att använda. Verktyget övervakar bara en server, men det behöver inte installeras på samma server precis så länge datorn som du kör den här programvaran är ansluten till nätverket.

Detta verktyg kanaliserar endast WMI-aviseringar från kommersiellt användbara applikationer: Aktiv katalog, Sharepoint, Exchange Server, Internetinformationstjänster, och SQL Server. Så det minskar mycket av de irrelevanta skräppostmeddelandena direkt. Uppsättningen för anmälningsfiltrering och -hantering är lite teknisk och Du kan skräddarsy aviseringar om du förstår hur WMI-tokens fungerar. Du kan till och med skriva dina egna skript om du har programmeringsfunktioner. Men om du inte har tid för allt detta kan du bara använda mallarna som levereras med verktyget.

SolarWinds driver ett onlineforum för sitt användargemenskap. Det här kallas KLAPPA TILL och vem som helst kan få tillgång till det - du behöver inte betala eller köpa produkter från SolarWinds. Du kan få extra mallar för WMI Monitor från THWACK-användare gratis.  Mallar modifierar rutinerna för anmälan för insamling av monitor. De fungerar som filter och de kommer också att generera varningar baserade på meddelanden och frekvens och även kombinationer av aviseringar. I huvudsak är mallarna kunskapsbas för WMI Monitor och de kommer att ge dig skräddarsydda, relevanta varningar utan att behöva skriva skript. Du kan utvärdera servern & Applikationsmonitor på en 30 dagars gratis prövotid.

SolarWinds Server & Application MonitorDownload 30-dagars GRATIS testversion

2. Paessler WMI Servicesensor med PRTG (GRATIS PRÖVNING)

Paessler PRTG

Paessler producerar inte många enskilda fristående verktyg. Istället skickar det ett monolitiskt paket, kallad PRTG Network Monitor, det där täcker alla tänkbara verktyg som du kanske vill ha för att övervaka nätverk, servrar och applikationer. Detta stötfångarpaket innehåller en serie "sensorer.”Funktionen hos PRTG beror på sensorerna som du aktiverar. Så om du vill ha en nätverksmonitor köper du PRTG och slår på nätverksövervakningssensorer. Om du är ute efter en servermonitor, sätter du bara på PRTGs sensorer för serverövervakning.

PRTG innehåller WMI-sensorer, så du kan bara använda paketet som en WMI-skärm och låta alla andra sensorer stängas av. En stor fördel med strategin är att den inte kostar dig någonting. Paesslers laddningsband för PRTG beräknas på antalet sensorer du vill använda och systemet är gratis för 100 sensorer eller mindre.

Skärmdumpen ovan visar hur PRTG tolkar WMI-aviseringar. I den här vyn kan du se resultatgrafer för både WMI- och SNMP-aviseringar. Graferna representerar volymen av genererade aviseringar och i den här vyn kan du se ett helt års värde av data tolkade. Vyn kan reduceras till en två-dagars tidsram, ger dig anmälningsvolymer per timme. Varningar visas också på graferna, representerade som prickar som påläggs prestandoraden.

Illustrationen visar bara ett sätt att du kan använda WMI-meddelandedata. Instrumentpanelen är helt anpassningsbar och du kan också titta ner för att visa enskilda aviseringar. Du kan också skapa anpassade varningar baserade på WMI-meddelanden.

PRTG är ett mycket omfattande verktyg och det är mycket troligt att du vill slå på andra sensorer bredvid WMI-funktionerna. Till exempel valde användaren i illustrationen ovan att implementera SNMP-övervakning också. Denna strategi är perfekt genomförbar och kan till och med hanteras inom 100 sensorgränsen för den kostnadsfria versionen. Om du vill distribuera PRTG till fullo måste du betala för det. Du kan få en 30-dagars gratis prövning av PRTG med obegränsad sensoraktivering.

Paessler PRTG Network MonitorDownload 30-dagars GRATIS testversion

3. Sapien WMI Explorer

Sapien WMI Explorer

Sapien producerade ett komplett WMI-hanteringsverktyg med sin WMI Explorer. Detta är mycket mer djupgående WMI-verktyg än de andra på denna lista och fokuserar enbart på WMI-aviseringar. Det ger dig också tillgång till Power. Detta är ett mycket tekniskt verktyg och om du förstår hur PowerShell fungerar och hur WMI-meddelanden är strukturerade kommer du aldrig att vilja använda något annat verktyg för att komma åt WMI-systemet. Om du inte är skicklig med programmeringskoncept och du inte fungerar bra med koder och symboler, kommer du att kämpa för att få något meningsfullt av detta verktyg.

Sapien WMI Explorer kastar gardinen från användarvänliga frontändar och får dig direkt in i gropen av WMI-data. Detta är den digitala ekvivalenten med att bli smutsig.

WMI lagrar meddelanden om Action Center i en databas och WMI Explorer tar dig direkt in i den datakällan. Du kan undersöka data från datorn som du har Explorer installerat på och också komma åt WMI-butikerna på andra datorer över ett nätverk. Programmet kommer även cachemeddelanden från fjärrsystem så att du fortfarande kan utforska deras WMI-data när de inte kan kontaktas.

Som du läser ovan finns det en stor volym WMI-meddelanden som lurar i djupet på alla Windows-datorer och du måste skära ner överväxten innan du kan upptäcka någon meningsfull information. Sapien är mycket bra på att förse dig med filter och sökfaciliteter som fungerar som din machete när du fördjupar djungeln i WMI.

Verktyget inkluderar en VBScript och Power skriptgenerator för att skapa datainsamlings- och formateringsprocedurer. Igen, använd dessa med försiktighet. Om du inte känner till PowerShell skulle du vara bättre på att titta på mallarna som verktyget tillhandahåller. Det här är förskrivna skript som automatiserar datainsamlingen åt dig.

Varje anmälan i WMI-databasen är vanligtvis länkad till en förklaring som görs tillgänglig online av programvaruhuset som tillhandahöll det meddelandegenererande programmet. Denna information kan ge djupare förklaringar för eventuella felkoder som finns i WMI-meddelandet och till och med föreslå lösningar. WMI Explorer drar in dessa guider för att hjälpa dig fixa de problem som WMI-meddelandet varnar.

Data kan exporteras i html, XML, CSV, och oformatterad text. WMI Explorer har inte ett snyggt användargränssnitt, så utvecklarna förväntar sig att användare ska överföra data till andra applikationer, till exempel Excel för analys.

WMI Explorer är inte gratis, men det är väldigt billigt. Det pris du betalar får du programvaran att använda för alltid, men det ger dig bara stöd under ett år. Detta stöd är inte bara ett Helpdesk utan också innehåller korrigeringar och uppdateringar. Du kan köpa ett supportpaket för följande år.

4. Nagios XI

Nagios XI

Nagios Core är ett världsomspännande gratis nätverksövervakningssystem. Det finns också en betald version, kallad Nagios XI. Båda versionerna kan förbättras genom tillägg som är tillgängliga gratis från ett mycket aktivt användargemenskap. Båda versionerna av Nagios använder WMI för att samla in data och presentera dem för administratörer. Det finns också ett antal WMI-relaterade plug-ins tillgängliga från gemenskapen.

WMI kategoriseras som ett "agentfritt" system. Det betyder att ett övervakningsprogram inte behöver distribuera sin egen klientkomponent på varje utrustning som övervakas. Detta beror på att WMI-meddelanden redan genereras ändå, så alla utvecklare av en WMI-monitor behöver göra är att skriva en central chef för att samla in dessa meddelanden. Nagios har en sådan chef integrerad i den.

Nagios går vidare Windows och Linux. Tror dock inte att du inte kan samla WMI-data om du installerar bildskärmen på en Linux-dator eftersom systemet når ut över nätverket för att utforska systemdata på varje dator som är ansluten till den. Denna undersökning inkluderar insamling av WMI-data.

WMI-användningen av Nagios kanaliseras inte specifikt mot en skärm i instrumentpanelen eftersom verktyget utnyttjar WMI-systemet för att samla in data om applikations- och värdprestanda, så mycket av feedbacken om livestatus som du ser i verktyget är faktiskt baserad på WMI-aviseringar.

5. WMI Explorer

WMI Explorer GitHub

WMI-verktyget kallas ibland CodePlex WMI Explorer på grund av att dess kod tidigare var tillgänglig på CodePlex plattform. CodePlex är dock inte ett programvaruhus, det är ett kodarkiv och koden har nu flyttats till GitHub.

Detta verktyg är ett öppen källkodsprojekt och du kan använd det gratis. Det utvecklades av en systemadministratör som inte kunde hitta rätt verktyg för att göra det möjligt för honom att sortera igenom WMI-aviseringar, så han skrev en själv. Han ställde sedan det här verktyget tillgängligt för andra.

Detta är en WMI-dataläsare. Gränssnittets layout liknar Windows Utforskaren. Den har en trädstruktur i en panel till vänster om fönstret, som ser ut som katalogpanelen i File Explorer. Nästa panel låter dig begränsa poster efter klass och sedan får du en sökpanel för att filtrera bort resultaten ytterligare. Den högra panelen på skärmen är en datavisare som visar detaljer om det för närvarande valda objektet.

Vad dessa olika paneler faktiskt visar är elementen i WMI Query Language. Så när du väljer alternativ från varje lista samlar du verkligen en WQL-fråga. Gränssnittet monterar frågan i en rad längst ner på skärmen, så det är faktiskt också en WQL-handledning. När du använder WMI Explorer kommer du att bli mer bekant med språket.

Det här är ett mycket enkelt gränssnitt och du behöver inte specialistkompetenser för att använda det. Du kan utforska alla datorer på distans över ett nätverk så länge du har administratörslösenordet för det. Förutom att montera WQL-frågan kommer verktyget att generera ett PowerShell-skript för att leverera och köra frågan i WMI-databasen och returnera resultaten. Detta verktyg tar hand om allt programmeringsarbete som krävs för att hämta WMI-data.

6. Adrem gratis WMI-verktyg

Adrem gratis WMI-verktyg

Gratis WMI-verktyg från AdRem är ett enda gränssnitt som innehåller en mängd olika WMI-manipuleringsverktyg, alla tillgängliga via en sidmeny. Verktyget kan min WMI-data på maskinen som den är installerad på och den kan också fråga alla andra datorer som kan kontaktas via ett nätverk - du behöver administratörslösenordet för dessa andra datorer, dock.

WMI-verktygen inkluderar åtkomst till händelseloggar och de kan också statusfrågeställningssystem till dig. Dessa verktyg gör detta gratis paket med verktyg till ett lättviktigt systemövervakningsverktyg som tar dig långt bortom att bara titta på WMI-meddelanden eller samla statistik om deras källor och frekvens.

De tillgängliga vyerna i gränssnittet är:

  • Översikt - ge en allmän systemöversikt
  • processer - visar alla aktuella, aktiva processer på maskinen som undersöks
  • tjänster - en lista över alla installerade tjänster och deras status, inklusive inaktiva tjänster
  • Händelseloggar - en lista över alla händelseloggar på maskinen
  • Hårdvara - liveinformation om hårdvarustatus
  • Operativ system - alla aktiva OS-komponenter
  • WMI Explorer - en WMI Query Language-tolk

Denna uppsättning verktyg ger dig mycket omfattande kontroller över Windows-maskinerna i ditt företag. Den enda nackdelen med hur verktygssättet är strukturerat är att det bara kan ge vyer på en dator åt gången.

Datatolkningsskärmarna betyder att du mycket sällan skulle behöva gå till WMI Explorer verktyg för att göra direkta undersökningar av rådata. För de flesta, systemstatusvisualisering och välplanerad datalayout skulle ge tillräcklig information.

Om Adrem någonsin skapat en konsoliderad version av det här verktyget, skulle det vara ett fullständigt infrastrukturövervakningssystem. De tilltalande GUI-gränssnitt, tillsammans med dess synbegränsningar gör detta verktyg väl lämpad för små nätverk, där en ägaroperatör eventuellt skulle behöva ta ansvar för att administrera systemet. Du behöver inte ha några tekniska färdigheter för att installera och använda detta fantastiska paket med systemövervakningsverktyg.

7. Hyena WMI Inventory Reporting Tool

Hyena WMI Inventory Reporting Tool

Hyena är ett systemövervakningspaket skapat av System Tools Software. De Enterprise Edition av detta paket inkluderar WMI Inventory Reporting Tool. Detta är en frågetolk och VBScript-generator. Verktyget tar ut alla programmeringskrav från uppgiften att övervaka WMI genom att presentera varje frågeelement i en serie listor. Användaren monterar en fråga med hjälp av pek-och-klick-alternativ och sedan kommer verktyget att paketera den monterade frågan i VBScript för att leverera den till WMI-databasen och hämta resultat.

Innan du använder dig av WMI-frågeställare, du kan bläddra igenom ett bibliotek av förskrivna frågor, en av dem kan väl redan tillgodose ditt mål. Oavsett om du kör en biblioteksfråga eller skapar en egen, har du möjlighet att köra utredningen på din egen dator, eller en fjärrdator eller till och med på grupper av datorer. Du behöver administratörsbehörighet för alla datorer som du har åtkomst till.

Verktyget kallas en "lagerrapporteringsverktyg”Och du kan använda den för att logga in många detaljer om var och en Windows dator som du har anslutit till ditt nätverk.

Typer information som kan samlas in med verktyget inkluderar:

  • Datormärke, modell och systemtillgångs-ID
  • CPU-typ, arkitektur, kapacitet och användning
  • Minneskapacitet och användning
  • Operativsystem, servicepakkenivå och serienummer
  • Dator MAC-adresser och IP-adress plus DHCP-detaljer
  • Installerade applikationer, snabbkorrigeringar och säkerhetsuppdateringar

Verktyget inkluderar en åtgärd utförande funktion, vilket gör att du kan köra program som verkar på insamlad WMI-data. Denna uppgiftsautomation inkluderar logghantering, DHCP-adresshantering, startar eller dödar processer, ta bort applikationer, skapa systemstartrutiner, och kommandot omstarter eller avstängningar. Alla Hyena-aktiviteter kan loggas för revisionsändamål.

En svag punkt i Hyena är dess gränssnitt. Det är mycket bra på att samla in data men det är inte särskilt bra på att visa det och det finns inte många analytiska funktioner i verktyget. Du kan dock exportera data från Hyena till Access eller Excel för analys där.

Hyena är inte ett gratis verktyg, men du kan prova det på en 30-dagars gratis provperiod.

8. NirSoft SimpleWMIView

NirSoft SimpleWMIView

NirSoft erbjuder en gratis WMI-databas frontend, kallas SimpleWMIView. Det här verktyget visar poster som det möter i ett givet WMI-namnutrymme på en given dator. Verktyget tabellerar WMI-poster för enkel visning och denna formatering gör också postarna enkla att skriva ut till CSV-filer för import till andra verktyg, till exempel Excel. Det är också möjligt att skriva ut oformatterad text, tab-avgränsad, html, XML, och JSON format.

Nedladdningen för verktyget är dess körbara fil, så det kräver ingen installationsprocess. Du kör bara den nedladdade filen så att gränssnittet körs. SimpleWMIView kan också vara kör vid kommandoraden med en serie alternativ som får dina WMI-data till en fil utan att öppna gränssnittet.

Programmet kommer åt WMI-poster som är lagrade på samma dator som SimpleWMIView-programvaran är installerad på. dock, det är möjligt att ansluta till andra datorer över nätverket via gränssnittet.

Gränssnittet innehåller några enkla filter och du kan ställa in dina egna WQL-datafilter om du har kunskap om frågespråket. Gränssnittet kan också sortera data på någon av de kolumner som visas i gränssnittet. Alla dessa datahanteringsåtgärder kan också specificeras på kommandoraden.

Förmågan att samla in data via ett kommando gör det möjligt att integrera detta verktyg i ett batchjobb och kör frågor med jämna mellanrum. Detta är ett bra alternativ om du vill arkivera WMI-meddelanden till loggfiler. Så du kan skapa din egen WMI-loggfilserver med det här verktyget.

Verktyget fungerar bra om du letar efter ett rådatamanipuleringsverktyg. Det rankas inte riktigt som ett WMI-analysverktyg. Utbudet av exportformat som verktyget tillhandahåller innebär emellertid att det skulle vara en bra backend för alla andra verktyg, vilket kan ge bättre analysfunktioner.

9. Goverlan WMIX

Goverlan WMIX

Goverlans huvudprodukt är ett nätverksövervakningsverktyg, kallat . Företaget tillverkar också ett antal kompletterande verktyg och WMIX är ett av dessa. De WMIX är en gratis WMI-datainsamlare.

Liksom några av de andra verktygen i den här listan representerar WMIX helt enkelt elementen i en WMI Query Language-sökning i en GUI-frontend. När du väljer element från varje alternativpanel, ser du WQL-frågan monteras i ett fält längst ner på skärmen. Så det erbjuder ett bra sätt för dig att bli bekant med WQL.

WMI-frågor hanteras vanligtvis via PowerShell från VBScript. Gränssnittet paketerar dina WQL-satser i skript så att du inte behöver oroa dig för att lära sig kommandospråket för dessa två system. Om du är intresserad av att skriva dina egna skript för framtida WMI-övervakning kan du montera WQL-frågorna i WMIX-gränssnittet och sedan extrahera dem för att inkluderas i dina skript.

Datavisaren presenterar WMI-poster i en trädstruktur, vilket gör att du kan gå igenom meddelandekategorier, utöka varje nod för att avslöja mer detaljerade egenskaper. En sidopanel förklarar varje nods attribut. Denna layout gör det mycket enkelt att utforska statusen och egenskaperna för din Windows-dator.

WMIX är en mycket attraktiv fråga och skriptgenerator. Det fungerar både som en guide och ett undervisningsverktyg samt ett datatillgånggränssnitt. Detta verktyg skulle vara lämpligt för administratörer av alla storlekar nätverk men det skulle vara av särskilt intresse för chefer för små system som litar på Windows-datorer.

10. Powershell WMI Explorer

Powershell WMI Explorer

Powershell WMI Explorer är ett gratis entusiastutvecklat WMI-gränssnitt. Detta verktyg har funnits länge och var en av de första tillgängliga WMI-tolkarna. Även om gränssnittet inte är särskilt sofistikerat, det mer eller mindre startade hela programvarukategorin för WMI-tolkar och påverkade utvecklingen av alla andra verktyg på denna lista. Det hänvisas ibland av utvecklarens namn, så du kan se detta verktyg faktureras som Marc van Orsouws WMI Explorer. Herr Van Orsouw identifierar sig också som "/ \ / \ O \ / \ /" så ett annat namn som ibland används för detta verktyg är MoW WMI Explorer.

Utforskaren kan komma åt WMI-data på den lokala datorn eller den kan ansluta via ett nätverk för att komma åt WMI-data på andra datorer. Gränssnittet aktiverar inte samtidig hämtning från flera källor. Men du kan samla WMI-poster från varje källa, skriva ut dem till fil och sedan slå samman dessa filer om du ville ha en enhetlig överblick över WMI-aktiviteten i ditt nätverk.

Gränssnittet innehåller fyra huvudpaneler - två indexpaneler till vänster och två bredare datatillträdespaneler till höger. Den första indexpanelen visar en filutforskar-typvy av namnutrymmen som finns tillgängliga på datorn. Den andra vänsterpanelen visar alla dataklassalternativ för WMI. Den nedre högra panelen förklarar den valda kategorin och visar också alla tillgängliga egenskaper. Den övre högra panelen låter dig montera en fråga och sedan köra den.

WMI-datahämtningar sker automatiskt via Power, så du behöver inte skriva några av dina egna procedurer för att samla in data.

Hjälppanelen i verktyget är särskilt användbart eftersom den förklarar vad varje dataklass betyder. Det finns många klasser och därför kan den här referenshandboken vara riktigt praktisk även om du inte tänker använda verktyget för att fråga WMI direkt.

WMI-frågor

Tendensen för många att ignorera meddelanden från Action Center är en gåva till hackare. Liknande, intrångsdetekteringssystem förbiser ofta WMI-aviseringar som att vara för vardagligt för att underlätta attacker. dock, WMI kan användas i varje fas av en attackstrategi och dess kombination med PowerShell för att transportera data och frågor över nätverk gör detta verktyg en bra ledning för datastöld i enkel syn.

WMI-meddelanden gör det vanligtvis inte till fysiska filer. Det betyder att de aldrig blir källmaterial för värdbaserade intrångsdetekteringssystem (HIDS) och får aldrig övervägas av säkerhetsinformationschefer (SIM) som utgör en del av SIEM. Så, helt enkelt dumpa WMI-meddelanden i filer regelbundet (dagligen), kommer att börja få spårade dessa WMI-aviseringar så länge du hittar ett HIDS eller ett SIM som kan hantera formatet för loggfilerna som din loggserverprocess producerar.

PowerShell är allestädes närvarande i Windows-system och alla försök att blockera den här servicemetoden skulle inaktivera din dators användbarhet eftersom den används av för många applikationer för att betraktas som ett valfritt system. Så trots PowerShells uppenbara attraktion för hackare, nätverksbaserade intrångsdetekteringssystem (NIDS) tittar inte alltid för noggrant på aktiviteterna för denna viktiga tjänst.

WMI-driftsmetoderna inkluderar en anläggning som kallas "prenumeration.”Detta kommer att starta om en WMI-process om den dödas. Så det skulle ge en användbar mekanism för ett avancerat persistent hot (APT) till fortsätta att köra på en dator även efter omstart eller om en systemrensning utförs av antimalware-programvara.

En kombination av WMI och PowerShell ger ett effektivt sätt för fileless malware att förbli aktiv på en dator även när den ursprungliga infektionen har städats upp. Det kan dock inte behöva finnas en initial, spårbar infektion. Webbplatser kan tryck på WMI-aviseringar, implementeras med användarens tillstånd. Den mekanismen gör det möjligt för webbplatsen att skicka aviseringar till användare, även om webbplatsen inte längre är öppen i en webbläsare på datorn. Så, en skadlig attack kan enkelt styras av ett fjärrkommandocenter genom WMI-systemet. Desktop-processen kan manipuleras till att transportera skadlig instruktion till varje Windows-dator genom att leverera de varningar som begärts från en fjärrplats med ett ihållande WMI-abonnemang. Nätverksaktivitet kan samordnas genom oskadliga PowerShell-rutiner.

Alla datoranvändare är försiktiga med att tillåta aviseringar från lite kända webbplatser. Men hackare har varit kända för piggyback deras virusdistribution via webbplatser för betrodda webbplatser. En infekterad eller direkt falsk produktuppdatering är en annan välkänd metod för distribution av virus, och om systemmodifieringen implementeras som en WMI-meddelandeinstallation utan att lagra några filer på datorn, antivirussystem skulle inte upptäcka det.

Övervaka WMI

Windows Management Instrumentation används ofta av mjukvaruleverantörer och webbplatser för att kommunicera felinformation och publicitetshändelser till användare av Windows-datorer. Ägarna av datorer verkar mindre intresserade av WMI: s funktioner, men de bör uppmärksamma det.

Som du har läst i den här guiden. WMI är en bra källa till användbar systeminformation som kan vara användbar för privata datoranvändare och även administratörer av kommersiella nätverk. dock, den överväldigande volymen med icke-väsentliga meddelanden kan ofta dränka nyttan av WMI-systemet.

Om du avskrev WMI som irrelevant, då Tänk om. Företagens nätverkssystemadministratörer bör särskilt börja kamma igenom WMI-namnutrymmen för systemaktivitetsinformation. Om du har blivit föremål för en avancerat bestående hot, du vet inte om intrång förrän du letar efter det - det är APT: s natur. En APT är en dold infektion som kan bli oupptäckt i flera år. Denna typ av intrång komprometterar din systemintegritet, utsätter data för avslöjande och erbjuder en hacker tillräckligt med tid att utforska varje hörn i ditt företag, ställa fällor, ändra data och skörda autentiseringsuppgifter.

Att bli bekant med WMI-systemet, dess dataformatstrukturer och informationslandskap är det första steget i att utnyttja kraften i Windows Management Instrumentation. Din nästa uppgift är att starta praktiska operationer, och alla verktyg i vår lista kommer att ge dig utmärkt stöd när du lär dig om WMI-klasser, WMI Query Language och Power och VBScript tillgång till databutiker.

När du väl är bekväm med WMI-processer, du kommer att vara i en bättre position att bedöma om dina nuvarande säkerhetssystem är tillräckliga för att skydda ditt företag från filelessattacker mot skadlig programvara och avancerade bestående hot. Om du inte hittar ett SIEM-system som för närvarande samlar WMI-data, skriv din egen WMI-logghanteringsrutin och mata dem in i ett värdbaserat intrångsdetekteringssystem. Både fileless malware och APTS är snabbväxande intrångsstrategier och du måste gå före dessa problem för att skydda användare och data på ditt system.

Övervakar du ditt WMI-system? Har du upptäckt en APT som fungerar via WMI och PowerShell? Tyckte du intrång svårt att bli av med? Har du hittat ett IDS som inkluderar WMI-övervakning? Lämna ett meddelande i kommentarer avsnitt nedan för att dela dina erfarenheter med samhället.

Brayan Jackson Administrator
Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.
follow me
Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

1 + 8 =

map