10 parimat Windowsi juhtimisinstrumendi (WMI) jälgimisriista

Parimad Windowsi juhtimisinstrumentide (WMI) jälgimisriistad


Windowsi haldusinstrumendid (WMI) on olnud kõigi Windowsi versioonide osa alates Windows 2000-st. See on liides, mille kaudu rakendused saavad arvuti kasutajale teatisi edastada..

See on osa kõikidest Windowsi maitsetest, sealhulgas Windows Server. See võime pole piiratud Microsofti utiliitide ja opsüsteemi elementidega. Iga tarkvaraarendaja saab WMI teatisi programmi lisada.

Kui teil pole aega kogu postitust lugeda, siis siin on meie nimekiri parimatest WMI seirevahenditest:

  1. SolarWinds WMI Monitor koos serveri- ja rakendusmonitoriga (TASUTA prooviversioon) Spetsialiseerige WMI -monitor Windows Serveris töötava serveri ja rakendustemonitori osana.
  2. Paessleri WMI hooldussensor koos PRTG-ga Kolm-ühes PRTG-sse integreeritud WMI-monitor, mis jälgib võrke, servereid ja rakendusi. Töötab Windows Serveris.
  3. Sapien WMI Explorer Põhjalik WMI ja Powershelli kuvar tehnoloogia nutitelefonidele.
  4. Nagios XI Põhjalik võrgu jälgimissüsteem koos WMI pistikprogrammidega. Töötab Windowsis ja Linuxis.
  5. WMI Explorer GitHubis on saadaval tasuta WMI-andmebrauser.
  6. Adrem tasuta WMI tööriistad Tasuta WMI-andmete vaataja ja sündmuste logi haldur.
  7. Hyena WMI varude aruandluse tööriist Osa opsüsteemi analüüsipaketist. Sellel tööriistal on suured andmete kogumise võimalused.
  8. NirSoft Simple WMI Viewer WMI andmevaatur skriptimisliidesega.
  9. Goverlan WMIX Tasuta WMI-andmete koguja koos sisseehitatud WQL-päringute kokkupanijaga.
  10. Powershelli WMI Explorer WMI andmete koguja, mis kasutab teabe hankimiseks Powershelli.

Kuidas WMI töötab??

WMI mehhanism põhineb põhimõtetel, mille on välja töötanud Hajutatud halduse töökond (DMTF), mis olid määratletud kahes avaldatud protokollis:  Veebipõhine ettevõttehaldus (WBEM) ja Ühine teabemudel (CIM). Põhimõtteliselt võimaldavad need taustaülesannetel pääseda läbi pidevalt töötavast töölauakeskkonnast, hõlmates keskkonna töölauahaldusprogrammi sõnumikontrolli rutiini..

Rutiin pakub teenust, mis sarnaneb veidi tuvide augu süsteemiga. Rakendused, mis soovivad, et nende teatised kuvatakse töölaual, paigutavad need konkreetsesse mäluala. Kui töölauaprogramm jõuab tagasi punktini, mis juhendab teda sõnumeid kontrollima, töödeldakse kõiki ootealaseid teatisi kordamööda ja kuvatakse töölaua paremal küljel olevas laiendatavas paneelis.

Probleemid WMI-ga

Töölaua ala, mis sisaldab „avaldatud” teatisi, nimetatakse Tegevuskeskus. Kui kõik sõnumid on töödeldud, kuvab töölaud kasutajale hoiatuse, teatades teatiste olemasolust külgpaneelil. Tegevuskeskusele juurdepääsu võimaldava ikooni kujundus muutub ka selleks, et näidata lugemata teatiste olemasolu. See ikoon on ruudukujuline kõnemull, mis on õõnes, kui puuduvad lugemata teatised, ja püsiv, kui on. Need kaks suhtlusmeetodit ärge lubage kasutajal neid teatisi tingimata näha.

Tegevuskeskus pole püsivalt nähtav ja seetõttu loetakse sõnumeid ainult siis, kui kasutaja valib külgpaneeli. Kas tahtlikult või unustamise kaudu, kasutaja ei pruugi kunagi tegevuskeskust avada ja seega ei pruugi neid teatisi kunagi lugeda. Kontekstimenüü süsteemisalves teatiseikoonil võimaldab kasutajal ka märguandeid tegevuskeskusest loputada, sõltumata sellest, kas neid on loetud või mitte.

WMI-sõnumside kasutamine on kommertstarkvara arendajatele kasulik kanal „unusta mind mitte” ja see on ka see veebisaitidel on võimalik WBEM-i kaudu WMI kaudu teatisi edastada. See tähendab, et teavitussüsteemi on potentsiaalsetele klientidele toote saadavuse meeldetuletamiseks veidi üle kasutatud. Sellest on saanud oluline turunduskanal. Kuna inimesed kipuvad müügipunktidele vastu, on nad saanud tegevuskeskuse eelistest kasu. See võib täis rämpsposti olla, nii et pole tavaline, et kasutajad tühjendavad tegevuskeskuse teatised regulaarselt ilma ühtegi neist lugemata, nii nagu nad kustutavad kogu Rämps nende e-posti kaustas.

Kasutused WMI jaoks

Tegevuskeskuse sõnumite eiramine on häbi, eriti kommertsolukordades. WMI-d kasutavad paljud olulised ärirakendused ja isegi võrguhalduse funktsioonid saadavad WMI-teateid. Näiteks SNMP-d saab seadistada töötama WMI kaudu märguandeid tegevuskeskusesse. Nii, võite kasutada WMI-d palju tõhusamalt mis aitavad teil võrku hallata ja hoiatavad lõppkasutajaid nende seadmetes esinevatest vigadest.

WMI sisaldab API-sid ja kui teil on programmeerimistuge, võiksite seda süsteemi kasutada lõppkasutajatega hoiatuste kaudu suhtlemiseks. Kuid selleks, et muuta kultuuri ja julgustada kasutajaid loobuma oma eelarvamustest tegevuskeskuse vastu kui aja raiskamisele, peate välja filtreerima ebaolulised sõnumid ja turunduskiudud.

WMI tööriistad

Kui saate neid teateid õigesti filtreerida ja hallata, saate WMI-teavitusi kasutada teabe saamiseks oma arvuti, serveri või võrgu kohta. Kahjuks, tegevuskeskus ei sisalda ühtegi juhtelementi. Turul on aga mitmeid kasulikke WMI abilisi, mis aitavad teil kasutada WMI teadetes sisalduvat teavet ilma rämpspostituseta.

Järgmistes jaotistes selgitatakse kõigi nende tööriistade eeliseid.

Parimad WMI seirevahendid

1. SolarWinds WMI Monitor koos serveri ja rakendusmonitoriga (TASUTA PROOVIVERSIOON)

SolarWinds toodab erinevaid suurepäraseid infrastruktuuri jälgimise tööriistu ja nende võimalusi Serveri- ja rakendusmonitor sisaldab WMI jälgimisutiliiti. Kuid see on tasuline toode ja saate lihtsalt alla laadida SolarWindsi WMI-teabe, laadides alla teenuse tasuta WMI Monitor. tasuta utiliit pole serverist ja rakendusmonitorist välja lõigatud tükk. See on täiesti eraldiseisev tarkvara, mis on välja töötatud juba algusest peale eraldiseisev utiliit.

See tööriist töötab kõikides Windowsi keskkondades ja on püsivalt vaba kasutamiseks. Tööriist jälgib ainult ühte serverit, kuid seda ei pea installima samasse serverisse niikaua, kuni arvuti, millel seda tarkvara käitate, on võrku ühendatud.

See tööriist kanaliseerib WMI teatisi ainult kaubanduslikult kasulikest rakendustest: Aktiivne kataloog, Jaotuspunkt, Exchange Server, Interneti infoteenused, ja SQL Server. Nii lõigatakse kohe välja palju ebaolulisi rämpsposti teatisi. Märguannete filtreerimiseks ja haldamiseks on loodud vähe tehnilisi ja saate teateid kohandada, kui saate aru, kuidas WMI tokenid töötavad. Kui teil on programmeerimisvõimalusi, saate isegi oma skripte kirjutada. Kui teil pole selle kõige jaoks aega, saate seda lihtsalt kasutada tööriistaga kaasas olevad mallid.

SolarWinds haldab oma kasutajakogukonna jaoks veebifoorumit. Seda nimetatakse SÕNAST ja igaüks pääseb sellele juurde – te ei pea maksma ega SolarWindsi tooteid ostma. Lisatempleid WMI Monitori jaoks saate THWACKi kasutajatelt tasuta.  Mallid muudavad monitori teavituste kogumise rutiine. Need toimivad filtrina ja genereerivad ka teateid teadete arvu ja sageduse ning teatiste kombinatsioonide põhjal. Põhimõtteliselt on mallid WMI Monitori andmebaas ja need pakuvad teile kohandatud asjakohaseid teateid ilma vajaduseta skripte kirjutada. Saate serverit hinnata & Rakenduse kuvar a 30-päevane tasuta prooviperiood.

SolarWindsi server & Rakendus MonitorDownload 30-päevane TASUTA prooviversioon

2. Paessleri WMI hooldussensor koos PRTG-ga (TASUTA prooviversioon)

Paessleri PRTG

Paessler ei tooda palju eraldiseisvaid tööriistu. Selle asemel tarnib see ühe monoliitpakendi, nn PRTG võrgumonitor, seda hõlmab kõiki ettekujutatavaid utiliite mida võiksite soovida võrkude, serverite ja rakenduste jälgimiseks. See kaitserauapakk sisaldab rea „andurid.”PRTG funktsionaalsus sõltub aktiveeritud anduritest. Niisiis, kui soovite võrgumonitori, siis ostate PRTG ja lülitate sisse võrgu jälgimise andurid. Kui olete serverimonitori turul, lülitage lihtsalt sisse PRTG serveri jälgimise andurid.

PRTG sisaldab WMI-andureid, nii et saate paketti kasutada lihtsalt WMI monitorina ja jätta kõik muud andurid välja lülitatuks. Selle strateegia suur eelis on see, et see ei maksa teile midagi. Paessleri laadimisribad PRTG jaoks arvutatakse andurite arvu järgi, mida soovite kasutada, ja süsteem on tasuta 100 või vähem andurit.

Ülaltoodud ekraanipilt näitab, kuidas PRTG tõlgendab WMI teatisi. Selles vaates näete nii WMI kui ka SNMP teavituste toimivusgraafikuid. Graafikud tähistavad genereeritud teatiste mahtu ja selles vaates näete terve aasta väärtusi tõlgendatud andmeid. Vaate saab lühendada kahepäevaseks ajavahemikuks, andes teile teavitusmahtu tunnis. Samuti on graafikutel kujutatud hoiatusi, mis on esinemisjoonele pandud punktidena.

Joonis näitab ainult ühte viisi, kuidas saaksite kasutada WMI teatise andmeid. Armatuurlaud on täiesti kohandatav ja saate ka üksikute märguannete vaatamiseks põhjalikumalt uurida. WMI-teadete põhjal saate luua ka kohandatud teateid.

PRTG on väga põhjalik tööriist ja on väga tõenäoline, et soovite WMI funktsioonide kõrval sisse lülitada ka muid andureid. Näiteks valis ülaloleval illustratsioonil olev kasutaja rakenduse SNMP jälgimine samuti. See strateegia on täiesti teostatav ja seda saab hallata isegi tasuta versiooni 100 sensori piires. Kui soovite PRTG-d täielikult kasutusele võtta, peate selle eest maksma. Sa võid saada PRTG 30-päevane tasuta prooviversioon piiramatu anduri aktiveerimisega.

Paessler PRTG Network MonitorLaadige alla 30-päevane TASUTA prooviversioon

3. Sapien WMI Explorer

Sapien WMI Explorer

Sapien koostas oma WMI Exploreriga täieliku WMI haldustööriista. See on palju muud põhjalik WMI tööriist kui teised selles loendis ja keskendub üksnes WMI teatistele. See annab teile ka juurdepääsu PowerShell. See on väga tehniline tööriist ja kui saate aru, kuidas PowerShell töötab ja kuidas WMI-sõnumid on üles ehitatud, siis ei taha te kunagi WMI-süsteemile pääsemiseks kasutada mõnda muud tööriista. Kui te pole programmeerimiskontseptsioonide osas vilunud ja te ei tööta hästi koodide ja märkidega, siis näete vaeva, et sellest utiliidist midagi tähenduslikku saada..

Sapien WMI Explorer viskab kasutajasõbralike esiosade kardina tagasi ja viib teid otse WMI andmete auku. See on teie käte määrdumise digitaalne ekvivalent.

WMI salvestab Action Centeri sõnumid andmebaasi ja WMI Explorer viib teid otse sellesse andmeallikasse. Saate uurida andmeid arvutist, kuhu olete Exploreri installinud, ja pääseda juurde ka võrgu kaudu teiste arvutite WMI poodidele. Programm isegi vahemälu teated kaugsüsteemidest, et saaksite nende WMI andmeid ikkagi uurida, kui nendega pole võimalik ühendust võtta.

Nagu ülalpool lugesite, varitseb iga Windowsi arvuti sügavuti WMI-teavitusi ja enne selle sisulise teabe tuvastamist peate ülekasvu vähendama.. Sapien pakub teile väga hästi filtreid ja otsimisvõimalusi mis toimivad teie matšeetena, kui kaevute WMI džunglisse.

Tööriist sisaldab a VBScript ja PowerShell skriptide generaator andmete kogumise ja vormindamise protseduuride loomiseks. Jälle, kasutage neid ettevaatusega. Kui te pole PowerShelliga kursis, tasuks teil parem vaadata tööriista pakutavaid malle. Need on eelnevalt kirjutatud skriptid, mis automatiseerivad teie jaoks andmete kogumise.

Iga WMI andmebaasis sisalduv teatis on tavaliselt seotud selgitusega, mille teeb veebis kättesaadavaks teatist genereeriva programmi pakkunud tarkvaramaja. Seda teavet saab pakkuda võimalike veakoodide põhjalikumad selgitused mis sisalduvad WMI-sõnumis ja pakuvad isegi lahendusi. WMI Explorer lisab need juhendid, mis aitavad teil lahendada probleeme, millest WMI-teade annab märku.

Andmeid saab eksportida HTML, XML, CSV, ja lihttekst. WMI Exploreril pole väljamõeldud kasutajaliidest, seetõttu loodavad arendajad, et kasutajad edastaksid andmeid teistesse rakendustesse, näiteks Excelisse.

WMI Explorer pole tasuta, kuid see on väga odav. Teie makstud hind võimaldab teil tarkvara igavesti kasutada, kuid see annab teile tuge ainult ühe aasta jooksul. See tugi pole ainult tugiteenus, vaid ka sisaldab plaastreid ja värskendusi. Tugipaketi saate osta järgmisteks aastateks.

4. Nagios XI

Nagios XI

Nagios Core on maailmaturvaline tasuta võrkude seiresüsteem. Samuti on olemas tasuline versioon, mille nimi on Nagios XI. Mõlemat versiooni saab täiustada lisandmoodulitega, mis on tasuta aktiivse kasutajakogukonna kaudu tasuta saadaval. Nagios mõlemad versioonid kasutavad andmete kogumiseks ja administraatoritele esitamiseks WMI-d. Samuti on kogukonnast saadaval mitmeid WMI-ga seotud pistikprogramme.

WMI liigitatakse järgmiselt agentideta süsteem. See tähendab, et seireprogramm ei pea igale jälgitavale seadmele oma kliendikomponenti juurutama. Selle põhjuseks on asjaolu, et WMI teatised on niikuinii juba genereeritud, nii et kõik WMI-kuvari arendajad peavad nende teadete kogumiseks kirjutama keskhalduri. Nagios on selline juht sellesse integreeritud.

Nagios jookseb edasi Windows ja Linux. Kuid ärge arvake, et te ei saa koguda WMI-andmeid, kui installite monitori Linuxi arvutisse, kuna süsteem jõuab võrgu kaudu iga süsteemiga ühendatud arvuti süsteemiandmete uurimiseks. See uurimine hõlmab WMI andmete kogumist.

Nagiose WMI-kasutamist ei suunata konkreetselt armatuurlaua ühele ekraanile, kuna tööriist kasutab WMI süsteemi andmete kogumiseks rakenduste ja hostide toimivuse kohta, seega põhineb suur osa tööriistas nähtavate reaalajas olekute tagasisidest WMI teatistel.

5. WMI Explorer

WMI Explorer GitHub

WMI tööriista nimetatakse mõnikord CodePlex WMI Explorer tulenevalt asjaolust, et selle kood oli varem saadaval veebisaidil CodePlex platvorm. CodePlex ei ole siiski tarkvaramaja, see on koodiarhiiv ja kood on nüüd teisaldatud GitHub.

See tööriist on avatud lähtekoodiga projekt ja saate ka kasutage seda tasuta. Selle töötas välja süsteemiadministraator, kes ei suutnud leida õiget tööriista, mis võimaldaks tal WMI teadete abil sorteerida, nii et ta kirjutas selle ise. Seejärel tegi ta selle tööriista teistele kättesaadavaks.

See on WMI-andmete brauser. Liidese paigutus sarnaneb Windowsiga File Explorer. Sellel on akna vasakul asuvas paneelis puustruktuur, mis näeb välja nagu File Exploreri kataloogipaneel. Järgmine paneel võimaldab teil kirjeid kitsendada klasside kaupa ja siis saate otsingupaneeli, et tulemusi veelgi enam välja filtreerida. Ekraani parempoolseim paneel on andmevaatur, mis näitab üksikasjad parajasti valitud objekti kohta.

See, mida need erinevad paneelid tegelikult näitavad, on selle elemendid WMI päringute keel. Nii et kui valite igast loendist suvandeid, olete tõesti kokku panemas WQL-päring. Liides ühendab päringu ekraani allosas olevas reas, nii et see on ka tegelikult WQL-i õpetus. WMI Exploreri kasutamisel saate keelt paremini tundma õppida.

See on väga lihtne liides ja selle kasutamiseks pole vaja eriteadmisi. Mis tahes arvutit saate võrgu kaudu eemalt uurida, kui teil on selle jaoks administraatori parool. Lisaks WQL-päringu kokkupanemisele genereerib tööriist ka PowerShelli skripti päringu edastamiseks ja täitmiseks WMI andmebaasis ning tulemuste tagastamiseks. See tööriist hoolitseb kõigi programmeerimistööde eest, mis on vajalikud WMI andmete toomiseks.

6. Adrem tasuta WMI tööriistad

Adrem tasuta WMI tööriistad

WMI tasuta tööriistad Adrem on ühtne liides, mis sisaldab mitmesuguseid WMI manipuleerimise tööriistu, millele pääseb juurde külgmenüü kaudu. Tööriist on võimeline minu WMI andmed masinasse, kuhu see on installitud, ja see võib päringuid teha ka muude arvutite kohta, millega saab võrgu kaudu ühendust – teil oleks vaja nende teiste arvutite administraatori parooli, ehkki.

WMI tööriistad hõlmavad juurdepääsu sündmuste logidele ja ka neid saab päringusüsteemi olekud sinu jaoks. Need kommunaalkulud muudavad selle tasuta pakett kommunaalkulusid lihtsaks süsteemijälgimisriistaks, viies teid kaugemale vaid WMI-teadete vaatamisest või staatika kogumisest nende allikate ja sageduse kohta.

Liideses saadaolevad vaated on järgmised:

  • Ülevaade – süsteemi üldkokkuvõtte andmine
  • Protsessid – näitab kõiki praeguseid aktiivseid protsesse uuritaval masinal
  • Teenused – kõigi installitud teenuste ja nende oleku, sealhulgas mitteaktiivsete teenuste loetelu
  • Sündmuste logid – kõigi masinas olevate sündmuste logide loetelu
  • Riistvara – riistvara olekute reaalajas üksikasjad
  • Operatsioonisüsteem – kõik aktiivsed OS-i komponendid
  • WMI Explorer – WMI Query Language tõlk

See tööriistakomplekt annab teile väga põhjalik kontroll oma ettevõtte Windowsi masinate kaudu. Tööriistakomplekti struktureerimise ainus negatiivne külg on see, et see saab korraga kuvada ainult ühes arvutis.

Andmete tõlgendamise ekraanid tähendavad, et teil on vaja väga harva minna WMI Explorer tööriist algandmete otseseks uurimiseks. Enamiku inimeste jaoks, süsteemi oleku visualiseerimine ja hästi kavandatud andmete paigutus annaks piisavalt teavet.

Kui Adrem kunagi selle utiliidi konsolideeritud versiooni looks, oleks see täieõiguslik infrastruktuuri järelevalvesüsteem. meeldiv GUI-liides, koos selle vaatepiirangutega muudab selle tööriista sobib hästi väikestesse võrkudesse, kus võimaluse korral peaks omanik haldaja võtma vastutuse süsteemi haldamise eest. Selle suurepärase süsteemijälgimisutiliidi installimiseks ja kasutamiseks ei vajaks te tehnilisi oskusi.

7. Hyena WMI varude aruandluse tööriist

Hyena WMI varude aruandluse tööriist

Hyena on süsteemi jälgimise pakett, mille on loonud System Tools Software. Ettevõtte väljaanne sellest pakist sisaldab WMI varude aruandluse tööriist. See on päringutõlk ja VBScripti generaator. Utiliit eemaldab kõik programmeerimisnõuded WMI jälgimise ülesandest, esitades iga päringu elemendi loendite seerias. Kasutaja koondab päringu, kasutades point-and-click suvandeid, ja siis tööriist pakendab kokkupandud päringu VBScripti, et edastada see WMI andmebaasi ja hankida tulemused.

Enne kui olete kasutanud WMI päringute kokkupanija, võite sirvida raamatukogu eelnevalt kirjutatud päringud, millest üks võib juba teie eesmärki täita. Ükskõik, kas käitate raamatukogupäringut või loote oma, on teil võimalus uurimist käivitada oma arvutis või kaugarvutis või isegi arvutirühmades. Teil on vaja kõigi arvutite, millele pääsete juurde, administraatori õigusi.

Utiliiti nimetatakse “varude aruandluse tööriist”Ja saate seda kasutada paljude üksikasjade logimiseks Windows arvuti, mille olete oma võrguga ühendanud.

Selle tööriistaga kogutavat teavet hõlmavad järgmised tüübid:

  • Arvuti mark, mudel ja süsteemi vara ID
  • Protsessori tüüp, arhitektuur, maht ja kasutamine
  • Mälu maht ja kasutamine
  • Operatsioonisüsteem, hoolduspaketi tase ja seerianumber
  • Arvuti MAC-aadressid ja IP-aadress pluss DHCP üksikasjad
  • Installitud rakendused, kiirparandused ja turbevärskendused

Tööriist sisaldab toimingu täitmise funktsioon, mis võimaldab teil käivitada programme, mis toimivad kogutud WMI andmete alusel. See ülesande automatiseerimine hõlmab logihaldus, DHCP aadressi haldus, käivitamine või tapmine, rakenduste eemaldamine, süsteemi käivitusrutiinide loomine, ja käskude taaskäivitamine või seiskamine. Kõiki Hyena tegevusi saab auditi jaoks sisse logida.

Hyena üks nõrk koht on selle liides. Andmete kogumine on väga hea, kuid selle kuvamine pole eriti hea ja utiliidil pole palju analüütilisi funktsioone. Seal saate aga eksportida andmeid Hyena andmebaasist Access või Excel.

Hyena ei ole tasuta tööriist, kuid saate seda proovida 30-päevasel tasuta prooviversioonil.

8. NirSoft SimpleWMIView

NirSoft SimpleWMIView

NirSoft pakub tasuta WMI andmebaasi kasutajaliides, mida nimetatakse SimpleWMIView. See tööriist kuvab kirjed, mida ta konkreetse arvuti WMI nimeruumis kohtub. Tööriist koondab WMI-kirjed hõlpsaks vaatamiseks ja see vormindamine muudab ka kirjete kirjutamise hõlpsaks CSV-failid muudesse tööriistadesse, näiteks Excelisse importimiseks. Võimalik on ka välja kirjutada lihttekst, tab-piiritletud, HTML, XML, ja JSON vormingud.

Utiliidi allalaaditav fail on selle käivitatav fail, nii et see ei vaja installiprotsessi. Liidese käivitamiseks käivitate lihtsalt allalaaditud faili. SimpleWMIView võib ka olla joosta käsureal koos rea võimalustega, mis viivad teie WMI andmed faili ilma liidest avamata.

Programm pääseb juurde WMI-kirjetele, mis on salvestatud samas arvutis, kuhu on installitud tarkvara SimpleWMIView. Kuid, on võimalik ühendada teiste arvutitega võrgu kaudu liidese kaudu.

Liides sisaldab mõnda lihtsat filtrit ja saate selle seadistada oma WQL-i andmefiltreid kui teil on päringu keelt. Liides on võimeline sorteerima andmeid ka kõigi liideses kuvatud veergude kohta. Kõiki neid andmetega manipuleerimise toiminguid saab ka käsureal täpsustada.

Võimalus käsu kaudu andmeid koguda võimaldab integreerige see utiliit pakkimistöösse ja käivitage perioodilisi päringuid. See on hea valik, kui soovite arhiivida WMI-sõnumid logifailidesse. Niisiis saate selle tööriista abil luua oma WMI logifailide serveri.

Utiliit töötab hästi, kui otsite töötlemata andmetega manipuleerimise tööriist. See ei kuulu tegelikult WMI analüüsi tööriista hulka. Selle tööriista pakutavate ekspordivormingute mitmekesisus tähendab aga, et see oleks hea taust muudele tööriistadele, mis võiksid pakkuda paremaid analüüsifunktsioone.

9. Goverlan WMIX

Goverlan WMIX

Goverlani peamine toode on võrgu jälgimise tööriist, mida nimetatakse Jõuda. Ettevõte toodab ka mitmeid täiendavaid tööriistu ja WMIX on üks neist. WMIX on tasuta WMI andmete koguja.

Nagu mõned teised selle loendi tööriistad, esindab WMIX lihtsalt WMI päringikeele otsingu elemente GUI-liideses. Elementide valimisel igast valikupaneelist, näete ekraani allosas väljal koondatavat WQL-päringut. Niisiis, see pakub teile head viisi WQL-ga tutvumiseks.

WMI päringuid hallatakse tavaliselt VBScripti PowerShelli kaudu. Liides liidab teie WQL-avaldused skriptina, nii et te ei pea muretsema nende kahe süsteemi käskluskeele õppimise pärast. Kui olete huvitatud oma skriptide kirjutamisest tulevase WMI jälgimise jaoks, saate WQL-i päringud kokku panna WMIX-i liidesesse ja seejärel ekstraheerige need skriptidesse lisamiseks.

Andmevaatur esitab WMI-kirjed puustruktuurina, võimaldades teil põhjalikumalt läbi vaadata sõnumikategooriad, laiendades iga sõlme üksikasjalikumate omaduste paljastamiseks. Külgpaneel selgitab iga sõlme atribuute. Selle paigutuse abil on Windowsi arvuti olekute ja omaduste uurimine väga lihtne.

WMIX on väga atraktiivne päringute ja skriptide generaator. See töötab nii juhendina ja õppevahendina kui ka andmetele juurdepääsu liidesena. See tööriist sobiks mis tahes suurusega võrgu administraatoritele, kuid see huvitaks eriti Windowsi arvutitele tuginevate väikeste süsteemide haldureid.

10. Powershelli WMI Explorer

Powershelli WMI Explorer

Powershelli WMI Explorer on tasuta entusiastide välja töötatud WMI-liides. See tööriist on olnud pikka aega kasutusel ja oli üks esimesi saadaolevaid WMI tõlke. Ehkki liides pole eriti keerukas, on see enam-vähem siiski olemas alustas kogu WMI-tõlkide tarkvarakategooriat ja mõjutas kõigi teiste selles loendis olevate tööriistade väljatöötamist. Mõnikord viidatakse sellele arendaja nimega, nii et võite seda tööriista arveldada Marc van Orsouwi WMI Explorerina. Hr Van Orsouw identifitseerib end ka kui “/ \ / \ O \ / \ /”, nii et teine ​​nimi, mida selle tööriista jaoks mõnikord kasutatakse, on MoW WMI Explorer.

Explorer saab juurdepääsu WMI andmetele kohalikus arvutis või saab võrgu kaudu ühenduse luua, et pääseda juurde WMI andmetele teistes arvutites. Liides ei luba samaaegset hankimist mitmest allikast. Kuid võite koguda WMI-kirjeid igast allikast, kirjutada need failidena välja ja seejärel ühendada need failid, kui soovite ühtset ülevaadet oma võrgus asuva WMI-tegevuse kohta.

Liides sisaldab nelja põhipaneeli – kaks registripaneeli vasakul ja kaks laiemat andmetele juurdepääsu paneeli paremal. Esimesel registripaneelil on arvutis saadaolevate nimeruumide File Explorer-tüüpi vaade. Teises vasakpoolses paneelis on loetletud kõik WMI andmeklassi valikud. Alumine parempoolne paneel selgitab valitud kategooriat ja näitab ka kõiki saadaolevaid omadusi. Parempoolne ülemine paneel võimaldab teil päringu kokku panna ja seejärel selle täita.

WMI andmete allalaadimine toimub automaatselt PowerShell, nii et andmete kogumiseks ei pea te kirjutama ühtegi oma protseduuri.

Tööriista abipaneel on eriti kasulik, kuna see selgitab, mida iga andmeklass tähendab. Klasse on palju ja seega võib see teatmik olla tõesti kasulik, isegi kui te ei kavatse tööriista otse WMI-le päringuid kasutada.

WMI annab välja

Paljud kipuvad Action Centeri teatisi eirama kingitus häkkeritele. Samamoodi, sissetungimise tuvastamise süsteemid jätavad sageli tähelepanuta WMI teatised kui rünnakute hõlbustamiseks liiga ilmne. Kuid, WMI-d saab kasutada rünnakustrateegia igas etapis ja selle kombinatsioon PowerShelliga andmete ja päringute edastamiseks võrkude kaudu muudab selle tööriista suurepärane kanal andmete varguste jaoks tavalises vaatevinklis.

WMI-sõnumid ei muuda seda tavaliselt füüsilisteks failideks. See tähendab, et neist ei saa kunagi lähtematerjali hostipõhised sissetungimise tuvastamise süsteemid (HIDS) ja kunagi ei arvestata sellega turbeteabe haldajad (SIM-kaardid), mis moodustavad osa SIEM. Niisiis, hakatakse WMI-teateid lihtsalt perioodiliselt (iga päev) failidesse koondama jälgige neid WMI teatisi kui leiate HIDSi või SIM-kaardi, mis suudab hallata logifailide vormingut, mida teie logiserveri protsess tekitab.

PowerShell on Windowsi süsteemides üldlevinud ja kõik selle teenusmeetodi blokeerimise katsed keelaksid teie arvuti kasulikkuse, kuna seda kasutab liiga palju rakendusi, et seda saaks pidada valikuliseks süsteemiks. Niisiis, vaatamata PowerShelli ilmselgele atraktiivsusele häkkerite vastu, võrgupõhised sissetungimise tuvastamise süsteemid (NIDS) ei vaata alati selle olulise teenuse tegevusi liiga tähelepanelikult.

WMI töömeetodid hõlmavad vahendit, mida nimetatakse „tellimine.”Sellega taaskäivitatakse WMI protsess, kui see tapetakse. Niisiis, see oleks kasulik mehhanism edasijõudnutele püsivatele ohtudele (APT) jätkake arvutis töötamist ka pärast rebootimist või süsteemi puhastust riistvaratõrjetarkvara abil.

WMI ja PowerShelli kombinatsioon on tõhus viis failivaba pahavara arvutis aktiivseks jäämiseks ka siis, kui algne nakkus on puhastatud. Esialgne jälgitav infektsioon ei pruugi siiski olla vajalik. Veebisaidid on võimelised push WMI teatised, rakendatud kasutaja loal. See mehhanism võimaldab veebisaidil saata kasutajatele teatisi isegi siis, kui veebisait pole arvuti brauseris enam avatud. Nii, pahatahtlikku rünnakut saab WMI süsteemi kaudu hõlpsalt suunata kaugjuhtimiskeskus. Töölauaprotsessis saab manipuleerida pahatahtlike juhiste transportimisse igasse Windowsi arvutisse, edastades hoiatused, mida püsipõhise WMI tellimusega nõutakse kaugelt saidilt. Võrguülest tegevust saab koordineerida kahjutute PowerShelli rutiinide kaudu.

Kõik arvutikasutajad on vähetuntud veebisaitide teatiste lubamisega ettevaatlikud. Häkkeritele on aga teada olnud tagaajaja nende viiruste levitamine usaldusväärsete saitide veebisaitide kaudu. Nakatunud või otse võltsitud tooteuuendus on veel üks tuntud meetod viiruste levitamiseks, ja kui süsteemi modifikatsiooni rakendatakse WMI teatise seadistusena, ilma arvutis ühtegi faili talletamata, viirusetõrjesüsteemid ei märkaks seda.

Monitori WMI

Windowsi haldusinstrumente kasutavad tarkvara pakkujad ja veebisaidid laialdaselt tõrketeabe ja sündmuste reklaamimise edastamiseks Windowsi arvutite kasutajatele. Tundub, et arvutite omanikud pole WMI võimaluste vastu vähem huvitatud, kuid nad peaksid sellele tähelepanu pöörama.

Nagu olete sellest juhendist lugenud. WMI on kasulik kasulik süsteemiteabe allikas, mis võib olla kasulik eraarvutite kasutajatele ja ka kommertsvõrkude administraatoritele. Kuid, ebaoluliste teadete suur maht võib WMI-süsteemi kasulikkuse sageli unarusse jätta.

Kui kirjutasite WMI ebaoluliseks, siis mõtle uuesti. Ettevõtte võrgusüsteemide administraatorid peaksid eriti alustama süsteemiteabe kohta WMI nimeruumide kammimist. Kui olete saanud teema arenenud püsiv oht, te ei tea sissetungimisest enne, kui seda otsite – see on APT-de olemus. APT on varjatud nakkus, mida võib aastaid märgata. Seda tüüpi sissetungimine kahjustab teie süsteemi terviklikkust, seab andmed avalikustamisele ja pakub häkkerile piisavalt aega ettevõtte iga nurga uurimiseks, püüniste seadmiseks, andmete muutmiseks ja autentimismandaatide kogumiseks.

WMI-süsteemi, selle andmete vormindamise struktuuride ja infomaastikuga tutvumine on esimene samm Windowsi juhtimisinstrumentide jõu rakendamiseks. Järgmine ülesanne on praktiliste toimingute alustamine ja kõik meie loendis olevad tööriistad pakuvad teile selle tundmaõppimisel suurepärast tuge WMI klassid, WMI päringute keel ja PowerShell ja VBScript juurdepääs andmepoodidele.

Kui teil on WMI protsessidega rahul, saate paremini hinnata, kas teie praegused turvasüsteemid on piisavad selleks, et kaitsta oma ettevõtet failideta pahavararünnakute ja edasijõudnute püsivate ohtude eest. Kui te ei leia SIEM-süsteemi, mis praegu kogub WMI-andmeid, kirjutage oma WMI logihaldusrutiin ja sisestage need hostipõhisesse sissetungimise tuvastamise süsteemi. Mõlemad failideta pahavara ja APT-d on kiiresti arenevad sissetungimisstrateegiad ja peate oma süsteemist kasutajate ja andmete kaitsmiseks neist probleemidest mööda minema.

Kas jälgite oma WMI-süsteemi? Kas olete avastanud WMI ja PowerShelli kaudu töötava APT? Kas teil oli sissetungimisest raske lahti saada? Kas olete leidnud IDS-i, mis sisaldab WMI jälgimist? Jätke teade väljale Kommentaarid allolevas jaotises, et jagada oma kogemusi kogukonnaga.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me