Code-Beispiel
Ein Beispiel zum Einsatz der Klasse System.Management.EventQuery, ManagementEventWatcher aus der .NET-Klassenbibliothek.
Autor: Dr. Holger Schwichtenberg
Beschreibung
Eine Ereignisabfrage (Event Query) unterscheidet sich von einer Datenabfrage dadurch, dass sie nicht sofort ein Ergebnis liefert, sondern Veränderungen an WMI-Objekten durch Ereignisse zurückmeldet.
Aufbau einer Ereignisabfrage
Eine WMI-Ereignisabfrage bezieht sich immer auf einen WMI-Ereignistyp. Mit der WHERE-Klausel werden das zu beobachtende WMI-Objekt und die in dem Objekt zu beobachtenden Attribute definiert.
SELECT * FROM eventklasse WHERE bedingung
Ereignisabfragen unterstützen als zusätzliche SQL-Schlüsselwörter WITHIN, GROUP BY und HAVING:- Dabei gibt WITHIN 10 das Polling-Intervall in Sekunden an.
- GROUP bündelt eine Anzahl von Einzelereignissen zu einem Gesamtereignis.
- HAVING dient der Definition einer Bedingung innerhalb der Gruppierung.
Bitte beachten Sie, dass das Ereignis InstanceModificationEvent wirklich nur ausgeführt wird, wenn sich ein Attributwert ändert. Wenn Sie beispielsweise die Prozessorlast auf die Überschreitung der 80%-Grenze prüfen, dann bekommen Sie ein Ereignis beim Überschreiten der Grenze. Wenn danach der Wert konstant bei 100% liegt, bekommen Sie keine weiteren Ereignisse. Sie erhalten erst wieder ein Ereignis, wenn der Wert sich nochmals ändert (z.B. von 100% auf 99%).
Beispiele für Ereignisabfragen
Die folgende Tabelle zeigt Beispiele für WMI-Ereignisabfragen.
WQL Erläuterung
SELECT * FROM _InstanceModificationEvent WITHIN 5 WHERE TargetInstance ISA "Win32Service" AND TargetInstance.State="Stopped" Alle fünf Sekunden wird geprüft, ob ein Dienst den Status Stopped bekommen hat.
SELECT FROM EmailEvent GROUP
WITHIN 600
HAVING NumberOfEvents > 5 Wenn innerhalb von zehn Minuten mehr als fünf E-Mail-Ereignisse auftreten, wird dieses Ereignis ausgelöst.
SELECT * FROM _InstanceCreationEvent WHERE TargetInstance ISA "Win32NTLogEvent" AND TargetInstance.Logfile="Application" OR TargetInstance.Logfile="System"
Jeder neue Eintrag in den Ereignisprotokollen System und Application löst ein Event aus.
Ausführung einer WMI-Ereignisabfrage in .NET
Da die Ergebnisse als Ereignisse eintreffen, unterscheidet sich die Ausführung einer Ereignisabfrage natürlich von der Ausführung einer Datenabfrage.
Die Verwendung einer Ereignisabfrage sieht so aus:- Zunächst wird ein EventQuery-Objekt erzeugt.
Dim eq As New EventQuery(ABFRAGE)
- Zusätzlich wird ein EventWatcher benötigt, den das EventQuery-Objekt verwendet.
Dim watcher As New ManagementEventWatcher(eq)
- Der EventWatcher bietet ein Ereignis EventArrived(), das an eine Ereignisbehandlungsroutine gebunden werden muss.
AddHandler watcher.EventArrived, AddressOf EreignisBehandlung
- Dann wird der EventWatcher gestartet.
watcher.Start()- Während das Hauptprogramm wartet, ruft der EventWatcher die entsprechende Ereignisbehandlungsroutine unter Angabe der Ereignisdaten auf.
Public Sub EreignisBehandlung(ByVal sender As Object, ByVal e As EventArrivedEventArgs)
Beispiel
Im folgenden Listing werden Zustandsänderungen in den Windows-Diensten überwacht.
Programmcodebeispiele Visual Basic .NET (VB.NET)
' ============================
' .NET-Code-Beispiel in Visual Basic .NET
' Ereignisabfrage für Dienste
' (C) Holger@Schwichtenberg.de
' ============================
Sub wmi_ereignisabfrage()
Const ABFRAGE = "SELECT * FROM _InstanceModificationEvent WITHIN 1 WHERE TargetInstance ISA 'Win32Service'"
' --- Abfrage definieren
Dim eq As New EventQuery(ABFRAGE)
' --- Überwachung definieren
Dim watcher As New ManagementEventWatcher(eq)
' --- Ereignisbehandlungsroutine festlegen
AddHandler watcher.EventArrived, _
AddressOf EreignisBehandlung
' --- Überwachung starten
watcher.Start()
MsgBox("Klicken Sie hier, um Überwachung zu beenden!")
watcher.Stop()
End Sub
Public Sub EreignisBehandlung(ByVal sender As Object, ByVal e As EventArrivedEventArgs)
Dim mo As ManagementBaseObject
Dim p As PropertyData
Dim wert As Object
mo = e.NewEvent
out("Veränderung in Dienst: " & mo.ClassPath.Path)
For Each p In mo.Properties
wert = p.Value
If Not wert Is Nothing Then
out(p.Name & "=" & wert.ToString())
Else
out(p.Name & "= (nicht belegt)")
End If
Next
End Sub
Programmcodebeispiele CSharp (C#)
using System;
using System.Management;
using System.Windows.Forms;
using FCL_Buch;
namespace FCLBuch._SystemManagement {
public class SamplesWMIAbfragen {
public void WMI_Ereignisabfrage() {
// Ereignisabfrage für Dienste
string abfrage = "SELECT * FROM _InstanceModificationEvent WITHIN 1 WHERE TargetInstance ISA 'Win32Service'";
// Abfrage definieren
EventQuery eq = new EventQuery(abfrage);
// Überwachung definieren
ManagementEventWatcher watcher = new ManagementEventWatcher(eq);
// Ereignisbehandlungsroutine festlegen
watcher.EventArrived += new EventArrivedEventHandler(watcher_EventArrived);
// Überwachung starten
watcher.Start();
MessageBox.Show("Klicken Sie hier, um die Überwachung zu beenden!");
watcher.Stop();
}
}
}
Hinweise
Ausgaben werden in den Beispielen durch Hilfsroutinen wie out() und
PrintOut() erzeugt. Diese sind hier nicht angegeben, da deren Implementierung
von der jeweiligen Umgebung abhängt. Für Konsolenanwendungen können hier z.B.
Console.WriteLine() einsetzen.
Querverweise
Liste aller Codebeispiele
Definition '.NET Framework Class Library'
Verfügbarkeit der Klasse 'System.Management.EventQuery, ManagementEventWatcher'
Übersicht über den FCL-Namensraum 'System.Management'
.NET & Visual Studio Community Portal