Cele mai bune 10 instrumente de monitorizare Windows Management Instrumentation (WMI)

Windows Management Instrumentation (WMI) este o componentă a tuturor versiunilor Windows încă din Windows 2000. Este o interfață prin care aplicațiile pot trimite notificări către utilizatorul computerului.

Este o parte din toate aromele Windows, inclusiv Windows Server. Această capacitate nu este limitată la utilitățile Microsoft și la elementele sistemului de operare. Orice dezvoltator de software poate include notificări WMI într-un program.

Dacă nu aveți timp să citiți toată postarea, iată lista noastră cu cele mai bune zece instrumente de monitorizare WMI:

1. SolarWinds WMI Monitor cu server și aplicație Monitor (TRIAL GRATUIT) Specializați monitorul WMI ca parte a serverului și a monitorului de aplicații, care rulează pe Windows Server.
2. Senzor de service WMI Paessler cu PRTG Monitor WMI integrat în PRTG-ul în trei, care monitorizează rețelele, serverele și aplicațiile. Se execută pe Windows Server.
3. Explorer Sapien WMI Monitor WMI aprofundat și Powershell pentru tehnologii experimentați.
4. Nagios XI Sistem de monitorizare complet de rețea cu plugin-uri WMI disponibile. Se execută pe Windows și Linux.
5. WMI Explorer Browser de date WMI gratuit disponibil pe GitHub.
6. Instrumente WMI gratuite Adrem Vizualizator gratuit de date WMI și manager de jurnal de evenimente.
7. Instrumentul de raportare inventar Hyena WMI O parte dintr-un pachet de analiză a sistemului de operare. Acest instrument are capacități excelente de colectare a datelor.
8. NirSoft Simple WMI Viewer Vizualizator de date WMI cu o interfață de script.
9. Goverlan WMIX Colector gratuit de date WMI cu un ansamblu de interogări WQL încorporat.
10. Powershell WMI Explorer Colector de date WMI care folosește Powershell pentru informații.

Cum funcționează WMI?

Mecanismul WMI se bazează pe principii concepute de către Grupul de lucru pentru management distribuit (DMTF) care au fost definite în două protocoale publicate:  Managementul întreprinderilor bazat pe Web (WBEM) si Model comun de informații (CIM). În esență, acestea permit activitățile de fundal pentru a trece prin mediul desktop care rulează în permanență, incluzând o rutină de verificare a mesajelor în programul de management desktop al mediului..

Rutina oferă un serviciu care seamănă puțin cu un sistem de găuri de porumbei. Aplicațiile care doresc să afișeze notificările pe desktop le plasează într-o anumită zonă de memorie. Când programul Desktop se întoarce până la punctul care îl recomandă să verifice mesajele, toate notificările în așteptare vor fi procesate pe rând și afișate în panoul expandabil din partea dreaptă a Desktopului.

Probleme cu WMI

Zona Desktop care conține notificări „publicate” se numește „ Centru de acțiune. După ce toate mesajele au fost procesate, Desktop afișează o alertă pentru utilizator, informând despre prezența notificărilor în panoul lateral. De asemenea, designul pictogramei care oferă acces la Centrul de Acțiuni se modifică pentru a arăta prezența notificărilor necitite. Această pictogramă este o bulă de vorbire pătrată care este goală dacă nu există notificări necitite și solide dacă există. Aceste două metode de comunicare nu permiteți utilizatorului să vadă aceste notificări.

Centrul de acțiune nu este vizibil permanent și astfel mesajele sunt citite numai dacă utilizatorul alege să deschidă panoul lateral. Fie intenționat, fie prin uitare, utilizatorul ar putea să nu deschidă niciodată Centrul de Acțiune și astfel s-ar putea să nu citiți niciodată aceste notificări. Un meniu contextual pe pictograma de notificări din tava de sistem permite utilizatorului să efectueze notificările din Centrul de Acțiune indiferent dacă au fost sau nu citite.

Utilizarea de mesagerie WMI este un canal util „nu mă uitați” pentru dezvoltatorii de software comercial și este, de asemenea este posibil ca site-urile să apeleze notificări prin WMI prin WBEM. Aceasta înseamnă că sistemul de notificări este puțin supraexploatat ca metodă de reamintire a potențialilor clienți de disponibilitatea unui produs. A devenit un important canal de marketing. Deoarece oamenii au tendința de a rezista gropilor de vânzări, au devenit asigurați de beneficiile Centrului de Acțiune. Poate fi plin de „spam”, astfel încât nu este neobișnuit ca utilizatorii să golească în mod regulat notificările despre Centrul de Acțiune fără să citească niciuna dintre ele, în modul în care șterg tot conținutul deșeuri folderul din sistemul lor de e-mail.

Utilizări pentru WMI

Ignorarea mesajelor Centrului de Acțiune este o rușine, în special în situații comerciale. WMI este utilizat de o serie de aplicații de afaceri importante și chiar funcții de administrare a rețelei trimit notificări WMI. SNMP, de exemplu, poate fi setat pentru a procesa alertele în Centrul de Acțiune prin WMI. Asa de, ai putea folosi WMI mult mai eficient pentru a vă ajuta să vă gestionați rețeaua și, de asemenea, pentru a avertiza utilizatorii finali despre erorile de pe dispozitivele lor.

WMI include API-uri și dacă aveți suport pentru programare, puteți utiliza acest sistem pentru a comunica cu utilizatorii finali prin intermediul alertelor. Cu toate acestea, pentru a schimba cultura și a încuraja utilizatorii să renunțe la prejudecățile lor împotriva Centrului de Acțiune ca pierdere de timp, trebuie să filtrați mesajele irelevante și planurile de marketing.

Instrumente WMI

Puteți exploata notificările WMI pentru a obține informații pe computer, server sau rețea dacă puteți filtra și gestiona corect mesajele. din pacate, Centrul de acțiune nu include controale. Cu toate acestea, există o serie de asistenți WMI utili pe piață care vă pot ajuta să folosiți informațiile conținute în notificările WMI, fără a fi nevoie să vă îndoiți prin spam.

Secțiunile următoare explică avantajele fiecăreia dintre aceste instrumente.

Cele mai bune instrumente de monitorizare WMI

1. SolarWinds WMI Monitor cu Server și Application Monitor (ÎNCERCARE GRATUITĂ)

SolarWinds produce o serie de instrumente excelente de monitorizare a infrastructurii și a acestora Server și Monitor de aplicații include un utilitar de monitorizare WMI. Cu toate acestea, acesta este un produs plătit și puteți obține doar expertiza SolarWinds WMI descărcând Monitor WMI gratuit. utilitate gratuită nu este o piesă tăiată din Server și Application Monitor. Este o componentă complet separată a software-ului dezvoltată de la sol o utilitate autonomă.

Acest instrument rulează pe toate mediile Windows și este permanent liber de utilizat. Instrumentul monitorizează doar un server, dar nu trebuie să fie instalat pe același server, atât timp cât computerul pe care executați acest software este conectat la rețea.

Acest instrument va canaliza doar notificările WMI din aplicații utile comercial: Director activ, SharePoint, Server Exchange, Servicii de informare pe internet, și SQL Server. Deci, aceasta elimină imediat o mulțime de notificări irelevante despre spam. Configurarea pentru filtrarea și gestionarea notificărilor este puțin tehnică și puteți adapta notificări dacă înțelegeți cum funcționează token-urile WMI. Puteți chiar să vă scrieți propriile scripturi dacă aveți capabilități de programare. Cu toate acestea, dacă nu aveți timp pentru toate acestea, puteți folosi doar șabloanele care se livrează cu instrumentul.

SolarWinds operează un forum online pentru comunitatea sa de utilizatori. Aceasta se numește AGHESMUI și oricine poate avea acces la el – nu trebuie să plătiți sau să cumpărați produse de la SolarWinds. Puteți obține șabloane suplimentare pentru monitorul WMI de la utilizatorii THWACK gratuit.  Șabloanele modifică rutinele de colectare a notificărilor Monitorului. Acționează ca filtre și vor genera, de asemenea, alerte bazate pe numărul de mesaje și frecvență și, de asemenea, pe combinații de notificări. În esență, șabloanele sunt baza de cunoștințe a monitorului WMI și vă vor oferi alerte relevante, adaptate, fără a fi nevoie să scrieți scripturi. Puteți evalua Serverul & Monitor de aplicații pe un 30 de zile de încercare gratuită.

Server SolarWinds & Aplicație Monitor Descărcați încercarea GRATUITĂ de 30 de zile

2. Senzor de service WMI de analizor cu PRTG (GRATUIT)

Paessler nu produce multe instrumente individuale. În schimb, livrează un pachet monolitic, numit Monitor de rețea PRTG, acea acoperă fiecare utilitate imaginabilă pe care o puteți dori, pentru a putea monitoriza rețele, servere și aplicații. Acest pachet de protecție conține o serie de „senzori.”Funcționalitatea PRTG depinde de senzorii pe care îi activați. Deci, dacă doriți un monitor de rețea, cumpărați PRTG și porniți senzorii de monitorizare a rețelei. Dacă sunteți pe piață pentru un monitor de server, activați doar senzorii de monitorizare a serverului PRTG.

PRTG conține senzori WMI, deci puteți utiliza pachetul doar ca monitor WMI și lăsați toți ceilalți senzori opriți. Un mare beneficiu al acestei strategii este că nu te va costa nimic. Benzile de încărcare ale Paessler pentru PRTG sunt calculate în funcție de numărul de senzori pe care doriți să-l utilizați și sistemul este gratuit pentru 100 de senzori sau mai puțin.

Imaginea de mai sus arată modul în care PRTG interpretează notificările WMI. În această vizualizare, puteți vedea grafice de performanță atât pentru notificările WMI, cât și pentru SNMP. Graficele reprezintă volumul de notificări generate și, în această vizualizare, puteți vedea valoarea unui an întreg interpretat. Vizualizarea poate fi redusă la un interval de timp de două zile, oferindu-vă volume de notificare pe oră. Alertele sunt, de asemenea, prezentate pe graficele, reprezentate ca puncte impuse pe linia de performanță.

Ilustrația arată doar un mod în care puteți utiliza datele de notificare WMI. Tabloul de bord este complet personalizabil și puteți, de asemenea, să derulați pentru a vedea notificările individuale. De asemenea, puteți crea alerte personalizate bazate pe mesaje WMI.

PRTG este un instrument foarte cuprinzător și este foarte probabil să doriți să porniți alți senzori pe lângă funcțiile WMI. De exemplu, utilizatorul din ilustrația de mai sus a ales să implementeze Monitorizare SNMP de asemenea. Această strategie este perfect fezabilă și poate fi chiar gestionată în limita a 100 de senzori din versiunea gratuită. Dacă doriți să implementați PRTG complet, va trebui să plătiți pentru asta. Poți obține un proces gratuit de 30 de zile al PRTG cu activare nelimitată a senzorului.

Paessler PRTG Network Monitor Descărcați încercarea GRATUITĂ pentru 30 de zile

3. Explorer Sapien WMI

Sapien a produs un instrument complet de gestionare a WMI cu Explorer WMI. Acest lucru este mult mai mult instrument WMI în profunzime decât celelalte din această listă și se concentrează pur pe notificările WMI. De asemenea, vă oferă acces la PowerShell. Acesta este un instrument foarte tehnic și dacă înțelegeți cum funcționează PowerShell și cum sunt structurate mesajele WMI, nu veți dori niciodată să utilizați niciun alt instrument pentru accesarea sistemului WMI. Dacă nu sunteți abil în concepte de programare și nu funcționați bine cu coduri și jetoane, atunci vă veți lupta pentru a obține orice lucru semnificativ din această utilitate.

Sapien WMI Explorer aruncă înapoi perdeaua front-friendly-ului ușor de utilizat și te introduce chiar în groapa datelor WMI. Acesta este echivalentul digital de a vă murdări mâinile.

WMI stochează mesajele Centrului de acțiune într-o bază de date și WMI Explorer vă intră direct în acea sursă de date. Puteți examina datele de pe computerul pe care aveți Explorer instalat și accesați, de asemenea, magazinele WMI ale altor computere dintr-o rețea. Programul va fi chiar mesaje cache de la sisteme la distanță, astfel încât să puteți explora în continuare datele lor WMI atunci când acestea nu pot fi contactate.

După cum ați citit mai sus, există un volum mare de notificări WMI care se ascund în profunzimea fiecărei computere Windows și trebuie să reduceți excesul înainte de a putea detecta informații semnificative. Sapien este foarte bun în a vă oferi filtre și facilități de căutare care acționează ca macheta ta în timp ce te adânci în jungla WMI.

Instrumentul include un VBScript și PowerShell generator de scripturi pentru a crea proceduri de colectare și formatare a datelor. Din nou, folosiți-le cu precauție. Dacă nu sunteți familiarizat cu PowerShell, ar fi bine să vă uitați la șabloanele pe care le oferă instrumentul. Acestea sunt scripturi pre-scrise care vor automatiza colectarea datelor pentru dumneavoastră.

Fiecare notificare din baza de date WMI este de obicei legată de o explicație care este disponibilă online de către casa de software care a furnizat programul generator de notificări. Aceste informații pot furniza explicații mai profunde pentru orice coduri de eroare conținut în mesajul WMI și chiar propune soluții. WMI Explorer introduce aceste ghiduri pentru a vă ajuta să remediați problemele avertizate de mesajul WMI.

Datele pot fi exportate în HTML, XML, CSV, și text simplu. WMI Explorer nu are o interfață de utilizator elegantă, astfel încât dezvoltatorii se așteaptă ca utilizatorii să transfere date în alte aplicații, cum ar fi Excel pentru analiză.

WMI Explorer nu este gratuit, dar este foarte ieftin. Prețul pe care îl plătiți face ca software-ul să-l folosească pentru totdeauna, dar vă oferă doar asistență pentru un an. Acest suport nu este doar un Help Desk, ci și include patch-uri și actualizări. Puteți cumpăra un pachet de asistență pentru anii următori.

4. Nagios XI

Nagios Core este un sistem gratuit de monitorizare a rețelei care bate în întreaga lume. Există, de asemenea, o versiune plătită, numită Nagios XI. Ambele versiuni pot fi îmbunătățite prin suplimente care sunt disponibile gratuit de la o comunitate de utilizatori foarte activă. Ambele versiuni ale Nagios utilizează WMI pentru a colecta date și a le prezenta administratorilor. Există, de asemenea, o serie de plugin-uri legate de WMI disponibile din comunitate.

WMI este clasificat ca fiind un sistem „fără agent”. Aceasta înseamnă că un program de monitorizare nu are nevoie să își desfășoare propria componentă de client pe fiecare echipament monitorizat. Acest lucru se datorează faptului că notificările WMI sunt deja generate oricum, astfel încât orice dezvoltator al unui monitor WMI trebuie să facă este să scrie un manager central pentru a colecta aceste mesaje. Nagios are un astfel de manager integrat în el.

Nagios continuă ferestre și Linux. Cu toate acestea, nu credeți că nu puteți colecta date WMI dacă instalați monitorul pe un computer Linux, deoarece sistemul ajunge la rețea pentru a explora datele sistemelor de pe fiecare computer conectat la acesta. Această explorare include colectarea de date WMI.

Utilizarea WMI a Nagios nu este canalizată special către un ecran din tabloul de bord deoarece instrumentul exploatează sistemul WMI pentru a colecta date despre performanța aplicației și a gazdei, așa că o mulțime de feedback-uri despre stările live pe care le vedeți în instrument se bazează de fapt pe notificările WMI.

5. WMI Explorer

Uneori instrumentul WMI este denumit uneori Explorer WMI CodePlex datorită faptului că codul său era disponibil pe CodePlex platformă. Cu toate acestea, CodePlex nu este o casă de software, este o arhivă de coduri și codul a fost acum mutat GitHub.

Acest instrument este un proiect open source si tu poti folosiți-l gratuit. Acesta a fost dezvoltat de un administrator de sistem care nu a găsit instrumentul potrivit pentru a-i putea sorta notificările WMI, așa că a scris unul singur. El a pus apoi acest instrument la dispoziția altora.

Aceasta este un browser de date WMI. Aspectul interfeței este similar cu Windows Explorator de fișiere. Are o structură de arbore într-un panou din stânga ferestrei, care arată ca panoul de director din File Explorer. Următorul panou vă permite să restrângeți înregistrările pe clase și apoi veți obține un panou de căutare pentru a filtra rezultatele și mai departe. Cel mai drept panou din ecran este un vizualizator de date, care arată detalii despre obiectul selectat în prezent.

Ceea ce arată aceste panouri diferite sunt elementele Limbă de interogare WMI. Așadar, pe măsură ce selectați opțiuni din fiecare listă, sunteți într-adevăr asamblat o interogare WQL. Interfața asamblează interogarea într-o linie din partea de jos a ecranului, deci aceasta este, de asemenea, de asemenea un tutorial WQL. Pe măsură ce utilizați WMI Explorer, veți cunoaște mai mult limba.

Aceasta este o interfață foarte simplă și nu aveți nevoie de abilități de specialitate pentru a o folosi. Puteți explora orice computer de la distanță printr-o rețea, atât timp cât aveți parola de administrare pentru acesta. Pe lângă asamblarea interogării WQL, instrumentul va genera un script PowerShell pentru a livra și executa interogarea în baza de date WMI și pentru a returna rezultatele.. Acest instrument are grijă de toate lucrările de programare necesare pentru preluarea datelor WMI.

6. Instrumente WMI gratuite Adrem

Instrumente WMI gratuite din Adrem este o singură interfață care include o varietate de instrumente de manipulare WMI, toate accesate printr-un meniu lateral. Instrumentul este capabil să datele mele WMI pe aparatul pe care este instalat și poate interoga, de asemenea, orice alt computer care poate fi contactat printr-o rețea – ai avea nevoie de parola de administrare pentru celelalte computere, deși.

Instrumentele WMI includ accesul la jurnalele de evenimente și pot, de asemenea starea sistemului de interogare Pentru dumneavoastră. Aceste utilități fac acest lucru pachet gratuit de utilități într-un instrument ușor de monitorizare a sistemului, care vă duce cu mult dincolo de simpla vizualizare a mesajelor WMI sau colectarea de statistici pe sursele și frecvența lor.

Vizualizările disponibile în interfață sunt:

• Prezentare generală – prezentarea unui rezumat general al sistemului
• procese – arată toate procesele actuale și actuale de pe mașina examinată
• Servicii – o listă cu toate serviciile instalate și starea acestora, inclusiv serviciile inactive
• Jurnalele de evenimente – o listă cu toate jurnalele de evenimente de pe aparat
• Hardware – detalii live despre starea hardware
• Sistem de operare – toate componentele active ale sistemului de operare
• WMI Explorer – un interpret de limbaj de interogare WMI

Acest set de instrumente vă oferă controale foarte cuprinzătoare pe mașinile Windows din afacerea dvs. Singurul dezavantaj al modului în care este structurat setul de instrumente este faptul că poate oferi vizualizări doar pe un computer la un moment dat.

Ecranele de interpretare a datelor înseamnă că foarte rar ar trebui să mergi la WMI Explorer instrument pentru a face investigații directe asupra datelor brute. Pentru cei mai multi oameni, vizualizarea stării sistemului și aspectul bine planificat al datelor ar furniza informații suficiente.

Dacă Adrem ar crea vreodată o versiune consolidată a acestui utilitar, ar fi un sistem de monitorizare a infrastructurii pe deplin. Interfață GUI plăcută, împreună cu limitările sale de vedere face acest instrument potrivit pentru rețele mici, unde, eventual, un proprietar-operator ar trebui să își asume responsabilitatea pentru administrarea sistemului. Nu aveți nevoie de abilități tehnice pentru a instala și utiliza acest pachet minunat de utilități de monitorizare a sistemului.

7. Instrumentul de raportare inventar Hyena WMI

Hyena este un pachet de monitorizare a sistemului creat de Software Tools System. Ediția Enterprise din acest pachet include Instrumentul de raportare a inventarului WMI. Acesta este un interpret de interogare și Generator VBScript. Utilitarul scoate toate cerințele de programare din sarcina de a monitoriza WMI prin prezentarea fiecărui element de interogare într-o serie de liste. Utilizatorul asamblează o interogare folosind opțiuni punct-și-clic, apoi instrumentul va împacheta interogarea asamblată în VBScript pentru a o livra în baza de date WMI și pentru a prelua rezultatele.

Înainte de a apela la Asamblator de interogare WMI, puteți parcurge o bibliotecă din interogări pre-scrise, dintre care unul poate bine deja să vă îndeplinească obiectivul. Indiferent dacă rulați o interogare de bibliotecă sau vă creați propriul dvs., aveți opțiunea de a rula ancheta pe propriul computer sau pe un computer la distanță sau chiar pe grupuri de computere. Veți avea nevoie de permisiunile de administrare ale tuturor computerelor pe care le accesați.

Utilitatea este numită „instrument de raportare a inventarului”Și îl puteți folosi pentru a înregistra multe detalii despre fiecare ferestre computer pe care l-ați conectat la rețeaua dvs..

Tipurile de informații care pot fi colectate cu instrumentul includ:

• Codul mărcii, modelului și sistemului de computer
• Tip CPU, arhitectură, capacitate și utilizare
• Capacitatea și utilizarea memoriei
• Sistemul de operare, nivelul pachetului de service și numărul de serie
• Adresele MAC ale computerului și adresa IP plus detaliile DHCP
• Aplicații instalate, remedieri rapide și actualizări de securitate

Instrumentul include o funcție de execuție a acțiunii, care vă permite să executați programe care acționează asupra datelor WMI colectate. Această automatizare a sarcinilor include managementul jurnalului, Managementul adreselor DHCP, procesele de lansare sau ucidere, eliminarea aplicațiilor, crearea de rutine de pornire a sistemului, și comandând repornirile sau oprirea. Toate activitățile Hyena pot fi înregistrate în scopuri de audit.

Un punct slab al Hyena este interfața sa. Este foarte bun la colectarea datelor, dar nu este foarte bun în afișarea acestora și nu există multe caracteristici analitice în utilitate. Cu toate acestea, puteți exporta date de la Hyena în Access sau Excel pentru analiză acolo.

Hyena nu este un instrument gratuit, dar îl puteți încerca într-un proces gratuit de 30 de zile.

8. NirSoft SimpleWMIView

NirSoft oferă o bază de date WMI gratuită, numit SimpleWMIView. Acest instrument afișează înregistrările pe care le întâlnește într-un spațiu de nume WMI dat pe un computer dat. Instrumentul tabulează înregistrările WMI pentru o vizualizare ușoară și această formatare face, de asemenea, înregistrările ușor de scris Fișiere CSV pentru import în alte instrumente, cum ar fi Excel. De asemenea, este posibil să scrieți text simplu, Tab nedelimitat, HTML, XML, și JSON formate.

Descărcarea utilitarului este fișierul său executabil, deci nu necesită niciun proces de instalare. Trebuie doar să rulați fișierul descărcat pentru a obține interfața în funcțiune. SimpleWMIView poate fi și el alerga la linia de comandă cu o serie de opțiuni care vă aduc datele WMI într-un fișier fără a deschide interfața.

Programul va accesa înregistrările WMI stocate pe același computer pe care este instalat software-ul SimpleWMIView. in orice caz, este posibil să vă conectați la alte computere prin rețea prin interfață.

Interfața include câteva filtre simple și puteți configura propriile filtre de date WQL dacă aveți cunoștințe despre limba de interogare. Interfața este de asemenea capabilă să sorteze date pe oricare dintre coloanele prezentate în interfață. Toate aceste acțiuni de manipulare a datelor pot fi, de asemenea, specificate la linia de comandă.

Posibilitatea de a colecta date printr-o comandă face posibilă integrați această utilitate într-un proces de lot și executați interogări periodic. Aceasta este o opțiune bună dacă doriți să arhivați mesajele WMI în fișierele jurnal. Prin urmare, puteți crea propriul server de fișiere jurnal WMI cu acest instrument.

Utilitarul funcționează bine dacă doriți un instrument de manipulare a datelor brute. Nu se clasează într-adevăr ca instrument de analiză WMI. Cu toate acestea, gama de formate de export pe care le oferă instrumentul înseamnă că ar fi un bun back-end pentru orice alt instrument, care ar putea oferi funcții de analiză mai bune.

9. Goverlan WMIX

Produsul principal al Goverlan este un instrument de monitorizare a rețelei, numit A ajunge. De asemenea, compania produce o serie de instrumente complementare, iar WMIX este unul dintre acestea. WMIX este un colector de date WMI gratuit.

La fel ca unele dintre celelalte instrumente din această listă, WMIX reprezintă pur și simplu elementele unei căutări de limbă de interogare WMI într-o interfață GUI. Pe măsură ce selectați elemente din fiecare panou de opțiuni, veți vedea că interogarea WQL se asamblează într-un câmp din partea de jos a ecranului. Așadar, oferă o modalitate bună pentru a vă familiariza cu WQL.

Interogările WMI sunt gestionate de obicei prin PowerShell de VBScript. Interfața vă conține declarațiile WQL în script, astfel încât nu trebuie să vă faceți griji despre învățarea limbajului de comandă al acestor două sisteme. Dacă sunteți interesat să vă scrieți propriile scripturi pentru monitorizarea WMI viitoare, puteți asambla interogările WQL în interfața WMIX, apoi extrage-le pentru a fi incluse în scripturile tale.

Vizualizatorul de date prezintă înregistrări WMI într-o structură de arbore, permițându-vă să derulați prin categoriile de mesaje, extinzând fiecare nod pentru a dezvălui proprietăți mai detaliate. Un panou lateral explică atributele fiecărui nod. Acest aspect face foarte ușor să explorezi stările și proprietățile computerului tău Windows.

WMIX este un generator de interogări și scripturi foarte atractiv. Funcționează atât ca ghid și instrument de predare, cât și ca interfață de acces la date. Acest instrument ar fi potrivit pentru administratorii de orice rețea de dimensiuni, dar ar fi de interes deosebit pentru managerii de sisteme mici care se bazează pe computere Windows.

10. Powershell WMI Explorer

Powershell WMI Explorer este o interfață WMI gratuită dezvoltată de entuziaști. Acest instrument este de foarte mult timp și a fost unul dintre primii interpreți WMI disponibili. Deși interfața nu este foarte sofisticată, aceasta este mai mult sau mai puțin a început întreaga categorie software de interpreți WMI și a influențat dezvoltarea tuturor celorlalte instrumente din această listă. Este denumit uneori numele dezvoltatorului său, astfel încât este posibil să vedeți acest instrument facturat ca WMI Explorer al lui Marc van Orsouw. Domnul Van Orsouw se identifică, de asemenea, ca „/ \ / \ O \ / \ /”, astfel încât un alt nume care este folosit uneori pentru acest instrument este MoW WMI Explorer.

Exploratorul poate accesa date WMI pe computerul local sau se poate conecta printr-o rețea pentru a accesa datele WMI pe alte computere. Interfața nu permite extragerea simultană din mai multe surse. Cu toate acestea, puteți colecta înregistrări WMI din fiecare sursă, scrie-le în fișier și apoi îmbinați aceste fișiere dacă doriți o privire de ansamblu unificată a activității WMI din rețeaua dvs..

Interfața conține patru panouri principale – două panouri index la stânga și două panouri mai largi de acces la date la dreapta. Primul panou index arată o vizualizare de tip File Explorer a spațiilor de nume disponibile pe computer. Al doilea panou din stânga listează toate opțiunile clasei de date pentru WMI. Panoul din dreapta jos explică categoria selectată și arată, de asemenea, toate proprietățile disponibile. Panoul din dreapta sus vă permite să asamblați o interogare și apoi să o executați.

Prelevările de date WMI sunt efectuate automat prin PowerShell, deci nu trebuie să scrieți niciuna dintre procedurile proprii pentru a colecta date.

Panoul de ajutor din instrument este deosebit de util, deoarece explică ce înseamnă fiecare clasă de date. Există o mulțime de clase, astfel încât acest manual de referință poate fi foarte util, chiar dacă nu intenționați să utilizați instrumentul pentru a interoga direct WMI.

Probleme WMI

Tendința multora de a ignora notificările Centrului de Acțiune este un cadou pentru hackeri. asemănător, sistemele de detectare a intruziunilor adesea trec cu vederea notificărilor WMI ca fiind prea banal pentru a facilita atacurile. in orice caz, WMI poate fi utilizat în fiecare fază a strategiei de atac și combinația sa cu PowerShell pentru a transporta date și interogări prin rețele face acest instrument o conduită excelentă pentru furtul de date la vedere.

Mesajele WMI nu se transformă în fișiere fizice. Aceasta înseamnă că nu devin niciodată material sursă pentru sisteme de detectare a intruziunilor bazate pe gazdă (HIDS) și nu te lua în considerare niciodată de manageri de informații de securitate (SIMs) care fac parte din SIEM. Deci, pur și simplu aruncarea mesajelor WMI în fișiere periodic (zilnic), va începe urmăriți notificările WMI atâta timp cât găsiți un HIDS sau un SIM care poate gestiona formatul fișierelor de jurnal pe care le produce procesul serverului dvs. de jurnal.

PowerShell este omniprezent în sistemele Windows și orice încercare de a bloca această metodă de serviciu ar dezactiva utilitatea computerului, deoarece este folosit de prea multe aplicații pentru a fi considerat un sistem opțional. Deci, în ciuda atracției evidente a PowerShell față de hackeri, sisteme de detectare a intruziunilor bazate pe rețea (NIDS) nu se uită întotdeauna prea atent la activitățile acestui serviciu esențial.

Metodele de operare WMI includ o facilitate numită „abonament.”Aceasta va reporni un proces WMI dacă este ucis. Deci, acest lucru ar oferi un mecanism util pentru o amenințare persistentă avansată (APT) continuați să rulați pe un computer chiar și după o repornire sau o curățare a sistemului este efectuată de software antimalware.

O combinație de WMI și PowerShell oferă o modalitate eficientă pentru ca malware-ul fără filă să rămână activ pe computer chiar și atunci când infecția inițială a fost curățată. Cu toate acestea, este posibil să nu fie necesar să existe o infecție inițială, urmăribilă. Site-urile web sunt capabile împingeți notificările WMI, implementat cu permisiunea utilizatorului. Acest mecanism permite site-ului web să trimită notificări utilizatorilor, chiar și atunci când site-ul nu mai este deschis într-un browser de pe computer. Asa de, un atac rău intenționat poate fi ușor direcționat de un centru de comandă de la distanță prin intermediul sistemului WMI. Procesul Desktop ar putea fi manipulat pentru a transporta instrucțiuni rău intenționate către fiecare computer Windows, prin livrarea alertelor solicitate de pe un site la distanță de un abonament WMI persistent. Activitatea la nivelul întregii rețele ar putea fi coordonată prin rutine inofensive PowerShell.

Toți utilizatorii de computere sunt precauți cu privire la faptul că permit notificările de pe site-urile web puțin cunoscute. Cu toate acestea, hackerii au fost cunoscuți piggyback distribuirea virusului lor prin site-urile site-urilor de încredere. O actualizare a produsului infectat sau complet fals este o altă metodă binecunoscută de distribuire a virușilor, și dacă modificarea sistemului este implementată ca o configurare de notificare WMI fără a stoca fișiere pe computer, sistemele antivirus nu l-ar detecta.

Monitorizarea WMI

Windows Management Instrumentation este utilizat pe scară largă de furnizorii de software și site-urile web pentru a comunica informații despre erori și publicitatea evenimentelor către utilizatorii computerelor Windows. Proprietarii de calculatoare par mai puțin interesați de capacitățile WMI, dar ar trebui să-i acorde atenție.

După cum ați citit în acest ghid. WMI este o bună sursă de informații utile despre sistem, care pot fi utile utilizatorilor de computere private și, de asemenea, administratorilor rețelelor comerciale. in orice caz, volumul copleșitor de mesaje neesențiale poate adesea stinge utilitatea sistemului WMI.

Dacă ați eliminat WMI ca nerelevant, atunci mai gandeste-te. Administratorii sistemelor de rețea ale companiei ar trebui să înceapă, în special, să se îmbine prin spații de nume WMI pentru informații despre activitatea sistemului. Dacă ați devenit subiectul unui amenințare persistentă avansată, nu veți ști despre intruziune până nu îl veți căuta – aceasta este natura APT-urilor. Un APT este o infecție ascunsă care poate fi nedetectată ani de zile. Acest tip de intruziune vă compromite integritatea sistemului dvs., expune datele la dezvăluire și oferă unui hacker suficient timp pentru a explora fiecare colț al afacerii dvs., a seta capcane, a schimba datele și a colecta datele de autentificare..

Familiarizarea cu sistemul WMI, structurile sale de formatare a datelor și peisajul informațional este primul pas în valorificarea puterii Instrumentației de gestionare Windows. Următoarea ta sarcină este să începeți operațiunile practice, iar oricare dintre instrumentele din lista noastră vă va oferi un suport excelent pe măsură ce aflați Clase WMI, Limbă de interogare WMI și PowerShell și VBScript acces la magazinele de date.

Odată ce sunteți confortabil cu procesele WMI, veți fi într-o poziție mai bună pentru a evalua dacă sistemele dvs. de securitate actuale sunt suficiente pentru a vă proteja compania împotriva atacurilor malware fără filă și a amenințărilor avansate persistente. Dacă nu găsiți un sistem SIEM care adună în prezent date WMI, scrieți-vă propria rutină de gestionare a jurnalului WMI și alimentați-le într-un sistem de detectare a intruziunilor bazat pe gazdă. Ambii malware fără filă și APTS sunt strategii de intruziune în creștere rapidă și trebuie să depășiți aceste probleme pentru a proteja utilizatorii și datele din sistemul dvs..

Îți monitorizezi sistemul WMI? Ați descoperit un APT care funcționează prin WMI și PowerShell? Ai găsit intruziunea greu de scăpat? Ați găsit un IDS care include monitorizarea WMI? Lasă un mesaj în Comentarii secțiunea de mai jos pentru a împărtăși experiențele tale cu comunitatea.