10 công cụ giám sát công cụ quản lý Windows (WMI) tốt nhất

Các công cụ giám sát công cụ quản lý Windows (WMI) tốt nhất

Công cụ quản lý Windows (WMI) đã là một thành phần của tất cả các phiên bản Windows kể từ Windows 2000. Đây là một giao diện thông qua đó các ứng dụng có thể đẩy thông báo đến người dùng máy tính.

Nó là một phần của tất cả các hương vị của Windows, bao gồm cả Windows Server. Khả năng này không bị hạn chế đối với các tiện ích và các yếu tố hệ điều hành của Microsoft. Bất kỳ nhà phát triển phần mềm nào cũng có thể bao gồm các thông báo WMI trong một chương trình.

Nếu bạn không có thời gian để đọc toàn bộ bài viết, thì đây là danh sách mười công cụ giám sát WMI tốt nhất của chúng tôi:

  1. SolarWinds WMI Monitor with Server and Application Monitor (THỬ MIỄN PHÍ) Chuyên môn hóa màn hình WMI như một phần của Máy chủ ứng dụng và Màn hình ứng dụng chạy trên Windows Server.
  2. Cảm biến dịch vụ WMI Paessler với PRTG Màn hình WMI được tích hợp vào PRTG ba trong một, theo dõi các mạng, máy chủ và ứng dụng. Chạy trên Windows Server.
  3. Nhà thám hiểm Sapien WMI Màn hình WMI và Powershell chuyên sâu dành cho những người am hiểu công nghệ.
  4. Nagios XI Hệ thống giám sát mạng toàn diện với các trình cắm WMI có sẵn. Chạy trên Windows và Linux.
  5. Nhà thám hiểm WMI Trình duyệt dữ liệu WMI miễn phí có sẵn trên GitHub.
  6. Công cụ WMI miễn phí Adrem Trình xem dữ liệu WMI miễn phí và trình quản lý nhật ký sự kiện.
  7. Công cụ báo cáo hàng tồn kho của Hyena WMI Một phần của gói phân tích hệ điều hành. Công cụ này có khả năng thu thập dữ liệu tuyệt vời.
  8. NirSoft Trình xem WMI đơn giản Trình xem dữ liệu WMI với giao diện kịch bản.
  9. Chính phủ WMIX Trình thu thập dữ liệu WMI miễn phí với trình biên dịch truy vấn WQL tích hợp.
  10. Powershell WMI Explorer Trình thu thập dữ liệu WMI sử dụng Powershell để tìm nạp thông tin.

WMI hoạt động như thế nào?

Cơ chế WMI dựa trên các nguyên tắc được thiết kế bởi Lực lượng quản lý phân phối (DMTF) đã được xác định trong hai giao thức được công bố:  Quản lý doanh nghiệp dựa trên web (WBEM) và Mô hình thông tin chung (CIM). Về cơ bản, chúng cho phép các tác vụ nền vượt qua môi trường Desktop chạy liên tục bằng cách bao gồm một thói quen kiểm tra tin nhắn trong môi trường chương trình quản lý Desktop Desktop.

Các thói quen cung cấp một dịch vụ giống như một hệ thống pigeonhole. Các ứng dụng muốn nhận thông báo của chúng được hiển thị trên Bàn làm việc đặt chúng vào một vùng bộ nhớ cụ thể. Khi chương trình Máy tính để bàn quay trở lại điểm chỉ thị để kiểm tra tin nhắn, tất cả các thông báo chờ sẽ được xử lý lần lượt và hiển thị trong bảng điều khiển có thể mở rộng ở phía bên phải của Màn hình.

Các vấn đề với WMI

Khu vực máy tính để bàn có chứa các thông báo đã được xuất bản trên nền tảng được gọi là Trung tâm hanh động. Khi tất cả các tin nhắn đã được xử lý, Desktop sẽ hiển thị cảnh báo cho người dùng, thông báo về sự hiện diện của thông báo trong bảng điều khiển bên. Thiết kế của biểu tượng cho phép truy cập vào Trung tâm hành động cũng thay đổi để hiển thị sự hiện diện của các thông báo chưa đọc. Biểu tượng này là một bong bóng lời thoại vuông rỗng nếu không có thông báo chưa đọc và chắc chắn nếu có. Hai phương thức giao tiếp này không nhất thiết cho phép người dùng xem các thông báo đó.

Trung tâm hành động không hiển thị vĩnh viễn và do đó, tin nhắn chỉ được đọc nếu người dùng chọn mở bảng điều khiển bên. Hoặc cố ý hoặc thông qua sự quên lãng, người dùng có thể không bao giờ mở Trung tâm hành động và vì vậy có thể không bao giờ đọc những thông báo đó. Một menu ngữ cảnh trên biểu tượng thông báo trong khay hệ thống cũng cho phép người dùng xóa các thông báo từ Trung tâm hành động bất kể chúng có được đọc hay không.

Việc sử dụng nhắn tin WMI là một kênh hữu ích, hãy quên tôi không phải kênh dành cho các nhà phát triển phần mềm thương mại và nó cũng là có thể để các trang web đẩy thông báo qua WMI qua WBEM. Điều này có nghĩa là hệ thống thông báo được khai thác quá mức như một phương pháp để nhắc nhở khách hàng tiềm năng về tính sẵn có của sản phẩm. Nó đã trở thành một kênh tiếp thị quan trọng. Khi mọi người có xu hướng chống lại các quảng cáo bán hàng, họ đã trở nên vô dụng trước những lợi ích của Trung tâm hành động. Nó có thể nhận được đầy đủ thư rác trên mạng, vì vậy người dùng không thường xuyên xóa các thông báo của Trung tâm hành động mà không đọc bất kỳ thư nào trong số đó, theo cách họ xóa tất cả nội dung của Rác thư mục trong hệ thống email của họ.

Sử dụng cho WMI

Sự coi thường các thông điệp của Trung tâm hành động là một sự xấu hổ, đặc biệt là trong các tình huống thương mại. WMI được sử dụng bởi một số ứng dụng kinh doanh quan trọng và thậm chí các chức năng quản trị mạng gửi thông báo WMI. SNMP, ví dụ, có thể được đặt để xử lý cảnh báo vào Trung tâm hành động thông qua WMI. Vì thế, bạn có thể sử dụng WMI hiệu quả hơn nhiều để giúp bạn quản lý mạng của mình và cũng để cảnh báo người dùng cuối về lỗi trên thiết bị của họ.

WMI bao gồm các API và nếu bạn có hỗ trợ lập trình, bạn có thể sử dụng hệ thống này để liên lạc với người dùng cuối thông qua các cảnh báo. Tuy nhiên, để thay đổi văn hóa và khuyến khích người dùng bỏ định kiến ​​của họ đối với Trung tâm hành động như một sự lãng phí thời gian, bạn cần lọc ra những thông điệp không liên quan và hợp kim tiếp thị.

Công cụ WMI

Bạn có thể khai thác thông báo WMI để lấy thông tin trên máy tính, máy chủ hoặc mạng của bạn nếu bạn có thể lọc và quản lý các tin nhắn đó đúng cách. không may, Trung tâm hành động không bao gồm các điều khiển. Tuy nhiên, có một số trợ lý WMI hữu ích trên thị trường có thể giúp bạn khai thác thông tin có trong thông báo WMI mà không phải lội qua thư rác.

Các phần sau đây giải thích lợi ích của từng công cụ này.

Các công cụ giám sát WMI tốt nhất

1. Màn hình WMI SolarWinds với màn hình máy chủ và ứng dụng (THỬ MIỄN PHÍ)

SolarWinds sản xuất một loạt các công cụ giám sát cơ sở hạ tầng tuyệt vời và Giám sát máy chủ và ứng dụng bao gồm tiện ích giám sát WMI. Tuy nhiên, đó là một sản phẩm trả phí và bạn có thể có được kiến ​​thức chuyên môn về WMI của SolarWinds bằng cách tải xuống Màn hình WMI miễn phí. Các tiện ích miễn phí không phải là một phần bị cắt ra khỏi Máy chủ và Ứng dụng Giám sát. Nó là một phần mềm hoàn toàn riêng biệt được phát triển từ đầu một tiện ích độc lập.

Công cụ này chạy trên tất cả các môi trường Windows và sử dụng miễn phí vĩnh viễn. Công cụ này chỉ giám sát một máy chủ, nhưng nó không được cài đặt trên cùng một máy chủ đó, miễn là máy tính bạn chạy phần mềm này được kết nối với mạng.

Công cụ này sẽ chỉ kênh thông báo WMI từ các ứng dụng hữu ích về mặt thương mại: Thư mục hoạt động, Điểm chia sẻ, Máy chủ trao đổi, Dịch vụ thông tin Internet, và Máy chủ SQL. Vì vậy, điều đó cắt bỏ rất nhiều thông báo spam không liên quan ngay lập tức. Việc thiết lập để lọc và quản lý thông báo là một chút kỹ thuật và bạn có thể điều chỉnh thông báo nếu bạn hiểu cách hoạt động của mã thông báo WMI. Bạn thậm chí có thể viết các kịch bản của riêng bạn nếu bạn có khả năng lập trình. Tuy nhiên, nếu bạn không có thời gian cho tất cả những điều đó, bạn có thể sử dụng các mẫu giao hàng với công cụ.

SolarWinds vận hành một diễn đàn trực tuyến cho cộng đồng người dùng của mình. Cái này được gọi là THWACK và bất cứ ai cũng có thể truy cập được – bạn không phải trả tiền hoặc mua sản phẩm từ SolarWinds. Bạn có thể nhận thêm các mẫu cho Màn hình WMI từ người dùng THWACK miễn phí.  Mẫu sửa đổi thói quen thu thập thông báo của Màn hình. Chúng hoạt động như các bộ lọc và chúng cũng sẽ tạo ra các cảnh báo dựa trên số lượng và tần suất tin nhắn cũng như kết hợp các thông báo. Về cơ bản, các mẫu là kiến ​​thức cơ bản của Màn hình WMI và chúng sẽ cung cấp cho bạn các cảnh báo phù hợp, phù hợp mà không cần phải viết các tập lệnh. Bạn có thể đánh giá Máy chủ & Giám sát ứng dụng trên một dùng thử 30 ngày.

Máy chủ SolarWinds & Ứng dụng Monitor Tải xuống bản dùng thử MIỄN PHÍ 30 ngày

2. Cảm biến dịch vụ Wess của Paessler với PRTG (THỬ MIỄN PHÍ)

Paessler PRTG

Paessler khôngn sản xuất nhiều công cụ độc lập cá nhân. Thay vào đó, nó vận chuyển một gói nguyên khối, được gọi là Giám sát mạng PRTG, cái đó bao gồm mọi tiện ích có thể tưởng tượng mà bạn có thể muốn theo dõi các mạng, máy chủ và ứng dụng. Gói bội thu này chứa một loạt các ứng dụngcảm biến.Chức năng của PRTG phụ thuộc vào các cảm biến mà bạn kích hoạt. Vì vậy, nếu bạn muốn có một màn hình mạng, bạn mua PRTG và bật các cảm biến giám sát mạng. Nếu bạn có trên thị trường cho một màn hình máy chủ, bạn chỉ cần bật cảm biến giám sát máy chủ PRTG.

PRTG chứa cảm biến WMI, vì vậy bạn chỉ có thể sử dụng gói làm màn hình WMI và tắt tất cả các cảm biến khác. Một lợi ích lớn của chiến lược đó là nó sẽ không tốn kém gì. Dải sạc Paessler sườn cho PRTG được tính trên số lượng cảm biến mà bạn muốn sử dụng và hệ thống là miễn phí cho 100 cảm biến hoặc ít hơn.

Ảnh chụp màn hình ở trên cho thấy cách PRTG diễn giải các thông báo WMI. Trong chế độ xem này, bạn có thể thấy biểu đồ hiệu suất cho cả thông báo WMI và SNMP. Các biểu đồ biểu thị khối lượng thông báo được tạo và trong chế độ xem này, bạn có thể thấy giá trị dữ liệu của cả năm. Chế độ xem có thể được giảm xuống theo khung thời gian hai ngày, cung cấp cho bạn khối lượng thông báo mỗi giờ. Cảnh báo cũng được mô tả trên biểu đồ, được biểu thị dưới dạng các chấm được áp đặt trên đường biểu diễn.

Hình minh họa chỉ ra một cách mà bạn có thể sử dụng dữ liệu thông báo WMI. Bảng điều khiển hoàn toàn tùy biến và bạn cũng có thể xem chi tiết để xem các thông báo riêng lẻ. Bạn cũng có thể tạo cảnh báo tùy chỉnh dựa trên tin nhắn WMI.

PRTG là một công cụ rất toàn diện và rất có khả năng bạn sẽ muốn bật các cảm biến khác bên cạnh các tính năng WMI. Ví dụ: người dùng trong hình minh họa ở trên đã chọn thực hiện Giám sát SNMP cũng. Chiến lược này là hoàn toàn khả thi và thậm chí có thể được quản lý trong giới hạn 100 cảm biến trên phiên bản miễn phí. Nếu bạn muốn triển khai PRTG đầy đủ, bạn sẽ phải trả tiền cho nó. Bạn có thể làm được bản dùng thử PRTG miễn phí 30 ngày với kích hoạt cảm biến không giới hạn.

Màn hình mạng Paessler PRTG Tải xuống bản dùng thử MIỄN PHÍ 30 ngày

3. Nhà thám hiểm Sapien WMI

Nhà thám hiểm Sapien WMI

Sapien đã sản xuất một công cụ quản lý WMI đầy đủ với WMI Explorer. Đây là nhiều hơn nữa công cụ WMI chuyên sâu hơn những người khác trong danh sách này và hoàn toàn tập trung vào các thông báo WMI. Nó cũng cho phép bạn truy cập vào PowerShell. Đây là một công cụ rất kỹ thuật và nếu bạn hiểu cách PowerShell hoạt động và cách các thông điệp WMI được cấu trúc thì bạn sẽ không bao giờ muốn sử dụng bất kỳ công cụ nào khác để truy cập hệ thống WMI. Nếu bạn không thành thạo với các khái niệm lập trình và bạn không làm việc tốt với mã và mã thông báo, thì bạn sẽ phải vật lộn để có được bất cứ điều gì có ý nghĩa từ tiện ích này.

Sapien WMI Explorer ném lại bức màn của các giao diện người dùng thân thiện và đưa bạn vào hố dữ liệu WMI. Đây là tương đương kỹ thuật số của việc làm bẩn tay của bạn.

WMI lưu trữ các thông điệp Trung tâm hành động trong cơ sở dữ liệu và WMI Explorer đưa bạn trực tiếp vào nguồn dữ liệu đó. Bạn có thể kiểm tra dữ liệu từ máy tính mà bạn đã cài đặt Explorer và cũng có thể truy cập vào các cửa hàng WMI của các máy tính khác qua mạng. Chương trình thậm chí sẽ tin nhắn bộ nhớ cache từ các hệ thống từ xa để bạn vẫn có thể khám phá dữ liệu WMI của họ khi không thể liên lạc được với họ.

Như bạn đã đọc ở trên, có một khối lượng lớn các thông báo WMI ẩn sâu trong mọi máy tính Windows và bạn cần phải cắt giảm sự phát triển quá mức trước khi bạn có thể phát hiện bất kỳ thông tin có ý nghĩa nào. Sapien rất giỏi trong việc cung cấp cho bạn các bộ lọc và phương tiện tìm kiếm hoạt động như dao rựa của bạn khi bạn đi sâu vào rừng WMI.

Công cụ bao gồm một VBScriptPowerShell trình tạo tập lệnh để tạo các quy trình thu thập và định dạng dữ liệu. Lần nữa, sử dụng chúng một cách thận trọng. Nếu bạn không quen thuộc với PowerShell, bạn nên xem các mẫu mà công cụ cung cấp sẽ tốt hơn. Đây là những tập lệnh được viết sẵn sẽ tự động thu thập dữ liệu cho bạn.

Mỗi thông báo trong cơ sở dữ liệu WMI thường được liên kết với một lời giải thích được cung cấp trực tuyến bởi nhà phần mềm cung cấp chương trình tạo thông báo. Thông tin này có thể cung cấp giải thích sâu hơn cho bất kỳ mã lỗi có trong thông điệp WMI và thậm chí đề xuất giải pháp. WMI Explorer đưa vào các hướng dẫn đó để giúp bạn khắc phục các sự cố mà thông báo WMI cảnh báo.

Dữ liệu có thể được xuất trong HTML, XML, CSV, và văn bản thô. WMI Explorer không có giao diện người dùng ưa thích, vì vậy các nhà phát triển mong muốn người dùng chuyển dữ liệu sang các ứng dụng khác, chẳng hạn như Excel để phân tích.

WMI Explorer không miễn phí, nhưng nó rất rẻ. Cái giá bạn phải trả giúp bạn sử dụng phần mềm mãi mãi, nhưng nó chỉ hỗ trợ bạn trong một năm. Sự hỗ trợ đó không chỉ là Bàn trợ giúp mà còn bao gồm các bản vá và cập nhật. Bạn có thể mua một gói hỗ trợ cho các năm tiếp theo.

4. Nagios XI

Nagios XI

Cốt lõi Nagios là một hệ thống giám sát mạng miễn phí nổi tiếng thế giới. Ngoài ra còn có một phiên bản trả phí, được gọi là Nagios XI. Cả hai phiên bản có thể được tăng cường bởi các tiện ích bổ sung có sẵn miễn phí từ cộng đồng người dùng rất tích cực. Cả hai phiên bản của Nagios đều sử dụng WMI để thu thập dữ liệu và trình bày cho quản trị viên. Ngoài ra còn có một số plugin liên quan đến WMI có sẵn từ cộng đồng.

WMI được phân loại là một hệ thống khác. Điều đó có nghĩa là một chương trình giám sát không cần phải triển khai thành phần máy khách của riêng mình trên mỗi thiết bị được giám sát. Điều này là do các thông báo WMI đã được tạo bằng mọi cách, vì vậy tất cả mọi nhà phát triển của màn hình WMI cần làm là viết một trình quản lý trung tâm để thu thập các tin nhắn đó. Nagios có một người quản lý tích hợp vào đó.

Nagios chạy trên các cửa sổLinux. Tuy nhiên, donith nghĩ rằng bạn có thể thu thập dữ liệu WMI nếu bạn cài đặt màn hình trên máy tính Linux vì hệ thống tiếp cận qua mạng để khám phá dữ liệu hệ thống trên mọi máy tính được kết nối với nó. Khám phá đó bao gồm việc thu thập dữ liệu WMI.

Việc sử dụng WMI của Nagios không được chuyển cụ thể về một màn hình trong bảng điều khiển vì công cụ khai thác hệ thống WMI để thu thập dữ liệu về hiệu suất của ứng dụng và máy chủ, do đó, rất nhiều phản hồi về trạng thái trực tiếp mà bạn thấy trong công cụ thực sự dựa trên thông báo WMI.

5. Nhà thám hiểm WMI

Wit Explorer GitHub

Công cụ WMI đôi khi được gọi là Trình thám hiểm WMI CodePlex do thực tế là mã của nó đã từng có sẵn trên CodePlex nền tảng. Tuy nhiên, CodePlex không phải là một nhà phần mềm, nó là một kho lưu trữ mã và mã hiện đã được chuyển đến GitHub.

Công cụ này là một dự án nguồn mở và bạn có thể sử dụng miễn phí. Nó được phát triển bởi một quản trị viên hệ thống, người không thể tìm thấy công cụ phù hợp để cho phép anh ta sắp xếp các thông báo WMI, vì vậy anh ta đã tự viết. Sau đó, ông đã cung cấp công cụ này cho người khác.

Đây là trình duyệt dữ liệu WMI. Bố cục của giao diện tương tự như Windows Chương trình quản lý dữ liệu. Nó có cấu trúc cây trong một bảng ở bên trái của cửa sổ, trông giống như bảng thư mục trong File Explorer. Bảng tiếp theo cho phép bạn thu hẹp các bản ghi theo lớp và sau đó bạn có được bảng tìm kiếm để lọc kết quả hơn nữa. Bảng điều khiển bên phải nhất trong màn hình là trình xem dữ liệu, hiển thị chi tiết về đối tượng hiện được chọn.

Những gì các bảng khác nhau thực sự hiển thị là các yếu tố của Ngôn ngữ truy vấn WMI. Vì vậy, khi bạn chọn tùy chọn từ mỗi danh sách, bạn thực sự đang lắp ráp truy vấn WQL. Giao diện lắp ráp truy vấn trong một dòng ở dưới cùng của màn hình, vì vậy đây thực sự cũng là một hướng dẫn WQL. Khi bạn sử dụng WMI Explorer, bạn sẽ trở nên quen thuộc hơn với ngôn ngữ.

Đây là một giao diện rất đơn giản và bạn không cần kỹ năng chuyên môn để sử dụng nó. Bạn có thể khám phá bất kỳ máy tính nào từ xa qua mạng miễn là bạn có mật khẩu quản trị viên cho nó. Cùng với việc lắp ráp truy vấn WQL, công cụ sẽ tạo tập lệnh PowerShell để phân phối và thực hiện truy vấn trong cơ sở dữ liệu WMI và trả về kết quả. Công cụ này đảm nhiệm tất cả các công việc lập trình cần thiết để lấy dữ liệu WMI.

6. Công cụ WMI miễn phí Adrem

Công cụ WMI miễn phí Adrem

Công cụ WMI miễn phí từ Adrem là một giao diện duy nhất bao gồm nhiều công cụ thao tác WMI, tất cả được truy cập thông qua menu bên. Công cụ có thể khai thác dữ liệu WMI trên máy được cài đặt và nó cũng có thể truy vấn bất kỳ máy tính nào khác có thể liên lạc qua mạng – mặc dù vậy bạn sẽ cần mật khẩu quản trị viên cho các máy tính khác đó.

Công cụ WMI bao gồm quyền truy cập vào nhật ký sự kiện và chúng cũng có thể trạng thái hệ thống truy vấn cho bạn. Những tiện ích làm cho điều này gói tiện ích miễn phí vào một công cụ giám sát hệ thống gọn nhẹ, đưa bạn vượt xa việc chỉ xem các tin nhắn WMI hoặc thu thập số liệu thống kê về nguồn và tần số của chúng.

Các khung nhìn có sẵn trong giao diện là:

  • Tổng quat – đưa ra một bản tóm tắt hệ thống chung
  • Quy trình – hiển thị tất cả các quy trình hiện tại, đang hoạt động trên máy đang được kiểm tra
  • Dịch vụ – danh sách tất cả các dịch vụ được cài đặt và trạng thái của chúng, bao gồm các dịch vụ không hoạt động
  • Nhật ký sự kiện – danh sách tất cả các bản ghi sự kiện trên máy
  • Phần cứng – chi tiết trực tiếp về trạng thái phần cứng
  • Hệ điều hành – tất cả các thành phần hệ điều hành đang hoạt động
  • Nhà thám hiểm WMI – trình thông dịch ngôn ngữ truy vấn WMI

Bộ công cụ này cung cấp cho bạn kiểm soát rất toàn diện trên các máy Windows trong doanh nghiệp của bạn. Nhược điểm duy nhất về cách cấu trúc bộ công cụ là nó chỉ có thể đưa ra quan điểm trên một máy tính tại một thời điểm.

Các màn hình giải đoán dữ liệu có nghĩa là bạn rất hiếm khi cần phải đi đến Nhà thám hiểm WMI công cụ để thực hiện điều tra trực tiếp trên dữ liệu thô. Đối với hầu hết mọi người, trực quan hóa trạng thái hệ thống và bố trí dữ liệu được lên kế hoạch tốt sẽ cung cấp đầy đủ thông tin.

Nếu Adrem từng tạo ra một phiên bản hợp nhất của tiện ích này, thì đó sẽ là một hệ thống giám sát cơ sở hạ tầng đầy đủ. Các giao diện GUI đẹp, cùng với những hạn chế về quan điểm của nó làm cho công cụ này rất phù hợp với các mạng nhỏ, nơi mà một nhà điều hành chủ sở hữu sẽ phải chịu trách nhiệm quản trị hệ thống. Bạn sẽ không cần bất kỳ kỹ năng kỹ thuật nào để cài đặt và sử dụng gói tiện ích giám sát hệ thống tuyệt vời này.

7. Công cụ báo cáo hàng tồn kho của Hyena WMI

Công cụ báo cáo hàng tồn kho của Hyena WMI

Hyena là gói giám sát hệ thống được tạo bởi Phần mềm Công cụ Hệ thống. Các Phiên bản doanh nghiệp của gói này bao gồm Công cụ báo cáo hàng tồn kho của WMI. Đây là một trình thông dịch truy vấn và Trình tạo VBScript. Tiện ích đưa tất cả các yêu cầu lập trình ra khỏi nhiệm vụ giám sát WMI bằng cách trình bày từng thành phần truy vấn trong một loạt các danh sách. Người dùng lắp ráp một truy vấn bằng các tùy chọn điểm và nhấp và sau đó công cụ sẽ đóng gói truy vấn đã lắp ráp trong VBScript để gửi nó đến cơ sở dữ liệu WMI và lấy kết quả.

Trước khi bạn truy đòi Trình biên dịch truy vấn WMI, bạn có thể duyệt qua thư viện truy vấn viết sẵn, một trong số đó cũng có thể đã phục vụ cho mục tiêu của bạn. Cho dù bạn chạy truy vấn thư viện hoặc tạo truy vấn của riêng bạn, bạn có tùy chọn để chạy điều tra trên máy tính của riêng bạn hoặc máy tính từ xa hoặc thậm chí trên các nhóm máy tính. Bạn sẽ cần quyền quản trị của tất cả các máy tính mà bạn truy cập.

Tiện ích này được gọi là một ứng dụngcông cụ báo cáo hàng tồn khoTôi và bạn có thể sử dụng nó để ghi lại nhiều chi tiết về mỗi các cửa sổ máy tính mà bạn đã kết nối với mạng của bạn.

Các loại thông tin có thể được thu thập với công cụ bao gồm:

  • ID tài sản hệ thống, mô hình và hệ thống
  • Loại CPU, kiến ​​trúc, dung lượng và sử dụng
  • Dung lượng bộ nhớ và sử dụng
  • Hệ điều hành, cấp gói dịch vụ và số sê-ri
  • Địa chỉ MAC máy tính và địa chỉ IP cộng với chi tiết DHCP
  • Các ứng dụng đã cài đặt, hotfix và cập nhật bảo mật

Công cụ bao gồm một chức năng thực thi hành động, cho phép bạn thực thi các chương trình hoạt động trên dữ liệu WMI được thu thập. Tự động hóa nhiệm vụ này bao gồm quản lý nhật ký, Quản lý địa chỉ DHCP, quá trình khởi động hoặc tiêu diệt, gỡ bỏ ứng dụng, tạo thói quen khởi động hệ thống, và chỉ huy khởi động lại hoặc tắt máy. Tất cả các hoạt động của Hyena có thể được ghi lại cho mục đích kiểm toán.

Một điểm yếu của Hyena là giao diện của nó. Nó rất tốt trong việc thu thập dữ liệu nhưng nó rất tốt trong việc hiển thị nó và có rất nhiều tính năng phân tích trong tiện ích. Tuy nhiên, bạn có thể xuất dữ liệu từ Hyena sang Access hoặc Excel để phân tích ở đó.

Hyena không phải là một công cụ miễn phí, nhưng bạn có thể dùng thử trong 30 ngày dùng thử miễn phí.

số 8. NirSoft SimpleWMIView

NirSoft SimpleWMIView

NirSoft cung cấp giao diện người dùng cơ sở dữ liệu WMI miễn phí, được gọi là SimpleWMIView. Công cụ này hiển thị các bản ghi mà nó gặp trong một không gian tên WMI cụ thể trên một máy tính nhất định. Công cụ lập bảng các bản ghi WMI để xem dễ dàng và định dạng này cũng làm cho các bản ghi dễ viết ra Tệp CSV để nhập vào các công cụ khác, chẳng hạn như Excel. Cũng có thể viết ra văn bản thô, tgiới hạn ab, HTML, XML, và JSON định dạng.

Tải xuống cho tiện ích là tập tin thực thi của nó, vì vậy nó không yêu cầu bất kỳ quá trình cài đặt nào. Bạn chỉ cần chạy tệp đã tải xuống để giao diện chạy. SimpleWMIView cũng có thể chạy ở dòng lệnh với một loạt các tùy chọn nhận dữ liệu WMI của bạn vào một tệp mà không cần mở giao diện.

Chương trình sẽ truy cập các bản ghi WMI được lưu trữ trên cùng một máy tính có cài đặt phần mềm SimpleWMIView. Tuy nhiên, có thể kết nối với các máy tính khác qua mạng thông qua giao diện.

Giao diện bao gồm một số bộ lọc đơn giản và bạn có thể thiết lập bộ lọc dữ liệu WQL của riêng bạn nếu bạn có kiến ​​thức về ngôn ngữ truy vấn. Giao diện cũng có thể sắp xếp dữ liệu trên bất kỳ cột nào được hiển thị trong giao diện. Tất cả các hành động thao tác dữ liệu này cũng có thể được chỉ định tại dòng lệnh.

Khả năng thu thập dữ liệu thông qua một lệnh cho phép tích hợp tiện ích này vào một công việc hàng loạt và chạy các truy vấn định kỳ. Đây là một tùy chọn tốt nếu bạn muốn lưu trữ các thông điệp WMI vào các tệp nhật ký. Vì vậy, bạn có thể tạo máy chủ tệp nhật ký WMI của riêng mình bằng công cụ này.

Tiện ích hoạt động tốt nếu bạn đang tìm kiếm một công cụ thao tác dữ liệu thô. Nó không thực sự xếp hạng là một công cụ phân tích WMI. Tuy nhiên, phạm vi định dạng xuất mà công cụ cung cấp có nghĩa là nó sẽ là một back-end tốt cho bất kỳ công cụ nào khác, có thể cung cấp các chức năng phân tích tốt hơn.

9. Chính phủ WMIX

Chính phủ WMIX

Sản phẩm chính của Goverlan sườn là một công cụ giám sát mạng, được gọi là Chạm tới. Công ty cũng sản xuất một số công cụ bổ sung và WMIX là một trong số đó. Các WMIX là công cụ thu thập dữ liệu WMI miễn phí.

Giống như một số công cụ khác trong danh sách này, WMIX chỉ đơn giản là đại diện cho các yếu tố của tìm kiếm Ngôn ngữ truy vấn WMI trong giao diện người dùng GUI. Khi bạn chọn các yếu tố từ mỗi bảng tùy chọn, bạn sẽ thấy truy vấn WQL được lắp ráp trong một trường ở cuối màn hình. Vì vậy, nó cung cấp một cách tốt để bạn làm quen với WQL.

Các truy vấn WMI thường được quản lý thông qua PowerShell của VBScript. Giao diện đóng gói các câu lệnh WQL của bạn trong tập lệnh để bạn không phải lo lắng về việc học ngôn ngữ lệnh của hai hệ thống này. Nếu bạn quan tâm đến việc viết các tập lệnh của riêng bạn để theo dõi WMI trong tương lai, bạn có thể tập hợp các truy vấn WQL trong giao diện WMIX và sau đó trích xuất chúng để đưa vào tập lệnh của bạn.

Trình xem dữ liệu trình bày các bản ghi WMI trong cấu trúc cây, cho phép bạn đi sâu vào các danh mục thông báo, mở rộng ra từng nút để hiển thị các thuộc tính chi tiết hơn. Một bảng điều khiển bên giải thích từng thuộc tính nút nút. Bố cục này giúp bạn dễ dàng khám phá các trạng thái và thuộc tính của máy tính Windows của bạn.

WMIX là một trình tạo kịch bản và truy vấn rất hấp dẫn. Nó hoạt động cả như một hướng dẫn và một công cụ giảng dạy cũng như giao diện truy cập dữ liệu. Công cụ này sẽ phù hợp với các quản trị viên của bất kỳ mạng có kích thước nào nhưng nó sẽ được các nhà quản lý của các hệ thống nhỏ dựa vào máy tính Windows quan tâm đặc biệt.

10. Powershell WMI Explorer

Powershell WMI Explorer

Trình khám phá Wowers Powershell là giao diện WMI được phát triển miễn phí dành cho người đam mê. Công cụ này đã có từ rất lâu và là một trong những trình thông dịch WMI đầu tiên có sẵn. Mặc dù giao diện không phức tạp lắm, nhưng ít nhiều đã bắt đầu toàn bộ danh mục phần mềm của trình thông dịch WMI và ảnh hưởng đến sự phát triển của tất cả các công cụ khác trong danh sách này. Đôi khi nó được gọi bằng tên nhà phát triển của nó, vì vậy bạn có thể thấy công cụ này được lập hóa đơn là Marc van OrsouwTHER WMI Explorer. Ông Van Orsouw cũng tự nhận mình là xông / \ / \ O \ / \ / nên một tên khác đôi khi được sử dụng cho công cụ này là MoW WMI Explorer.

Explorer có thể truy cập dữ liệu WMI trên máy tính cục bộ hoặc nó có thể kết nối qua mạng để truy cập dữ liệu WMI trên các máy tính khác. Giao diện không cho phép tìm nạp đồng thời từ nhiều nguồn. Tuy nhiên, bạn có thể thu thập các bản ghi WMI từ mỗi nguồn, ghi chúng ra tệp và sau đó hợp nhất các tệp đó nếu bạn muốn có một tổng quan thống nhất về hoạt động WMI trên mạng của bạn.

Giao diện chứa bốn bảng chính – hai bảng chỉ mục ở bên trái và hai bảng truy cập dữ liệu rộng hơn ở bên phải. Bảng chỉ mục đầu tiên hiển thị dạng xem File Explorer của các không gian tên có sẵn trên máy tính. Bảng điều khiển bên trái thứ hai liệt kê tất cả các tùy chọn lớp dữ liệu cho WMI. Bảng bên phải phía dưới giải thích danh mục đã chọn và cũng hiển thị tất cả các thuộc tính có sẵn. Bảng phía trên bên phải cho phép bạn tập hợp một truy vấn và sau đó thực hiện nó.

Việc tải dữ liệu WMI được tự động thực hiện thông qua PowerShell, vì vậy bạn không cần phải viết bất kỳ thủ tục nào để thu thập dữ liệu.

Bảng trợ giúp trong công cụ đặc biệt hữu ích vì nó giải thích ý nghĩa của từng lớp dữ liệu. Có rất nhiều lớp và vì vậy hướng dẫn tham khảo này có thể rất hữu ích ngay cả khi bạn không có ý định sử dụng công cụ để truy vấn WMI trực tiếp.

Các vấn đề WMI

Xu hướng của nhiều người bỏ qua các thông báo của Trung tâm hành động là một món quà cho tin tặc. Tương tự, hệ thống phát hiện xâm nhập thường bỏ qua các thông báo WMI như là quá trần tục để tạo điều kiện cho các cuộc tấn công. Tuy nhiên, WMI có thể được sử dụng trong mọi giai đoạn của chiến lược tấn công và sự kết hợp của nó với PowerShell để truyền dữ liệu và truy vấn trên các mạng tạo nên công cụ này một ống dẫn tuyệt vời để đánh cắp dữ liệu trong tầm nhìn rõ ràng.

Các tin nhắn WMI thường don lồng làm cho nó thành các tập tin vật lý. Điều này có nghĩa là chúng không bao giờ trở thành tài liệu nguồn cho hệ thống phát hiện xâm nhập dựa trên máy chủ (TRẺ EM) và không bao giờ được xem xét bởi quản lý thông tin bảo mật (SIM) là một phần của SIEM. Vì vậy, chỉ cần bỏ các tin nhắn WMI vào các tệp theo định kỳ (hàng ngày), sẽ bắt đầu theo dõi các thông báo WMI đó miễn là bạn tìm thấy HIDS hoặc SIM có thể xử lý định dạng của tệp nhật ký mà quy trình máy chủ nhật ký của bạn tạo ra.

PowerShell có mặt khắp nơi trong các hệ thống Windows và mọi nỗ lực chặn phương thức dịch vụ này sẽ vô hiệu hóa tính hữu ích của máy tính của bạn vì nó được sử dụng bởi quá nhiều ứng dụng để được coi là một hệ thống tùy chọn. Vì vậy, bất chấp sự hấp dẫn rõ ràng của PowerShell đối với tin tặc, hệ thống phát hiện xâm nhập dựa trên mạng (NIDS) don Nhận luôn xem xét quá kỹ các hoạt động của dịch vụ thiết yếu này.

Các phương thức vận hành WMI bao gồm một cơ sở được gọi là mộtđăng ký.Điều này sẽ khởi động lại một quá trình WMI nếu nó bị giết. Vì vậy, điều đó sẽ cung cấp một cơ chế hữu ích cho mối đe dọa dai dẳng (APT) để tiếp tục chạy trên máy tính ngay cả sau khi khởi động lại hoặc dọn dẹp hệ thống được thực hiện bởi phần mềm chống phần mềm độc hại.

Một sự kết hợp giữa WMI và PowerShell cung cấp một cách hiệu quả để phần mềm độc hại không mã vẫn hoạt động trên máy tính ngay cả khi phần nhiễm ban đầu đã được dọn sạch. Tuy nhiên, có thể không cần phải là một nhiễm trùng ban đầu, có thể theo dõi. Trang web có thể đẩy thông báo WMI, thực hiện với sự cho phép của người dùng. Cơ chế đó cho phép trang web gửi thông báo cho người dùng, ngay cả khi trang web không còn mở trong trình duyệt trên máy tính. Vì thế, một cuộc tấn công độc hại có thể dễ dàng được điều khiển bởi một trung tâm chỉ huy từ xa thông qua hệ thống WMI. Quá trình máy tính để bàn có thể được điều khiển để chuyển hướng dẫn độc hại đến từng máy tính Windows bằng cách gửi các cảnh báo được yêu cầu từ một trang web từ xa bằng đăng ký WMI liên tục. Hoạt động trên toàn mạng có thể được điều phối thông qua các thói quen PowerShell vô hại.

Tất cả người dùng máy tính đều thận trọng về việc cho phép thông báo từ các trang web ít được biết đến. Tuy nhiên, tin tặc đã được biết đến lợi dụng phân phối virus của họ thông qua các trang web của các trang web đáng tin cậy. Một bản cập nhật sản phẩm giả bị nhiễm hoặc hoàn toàn là một phương pháp phân phối virus nổi tiếng khác, và nếu việc sửa đổi hệ thống được triển khai dưới dạng thiết lập thông báo WMI mà không lưu trữ bất kỳ tệp nào trên máy tính, hệ thống chống vi-rút sẽ không phát hiện ra nó.

Giám sát WMI

Công cụ quản lý Windows được sử dụng rộng rãi bởi các nhà cung cấp phần mềm và trang web để truyền đạt thông tin lỗi và công khai sự kiện tới người dùng máy tính Windows. Chủ sở hữu máy tính dường như ít quan tâm đến khả năng của WMI, nhưng họ nên chú ý đến nó.

Như bạn đã đọc trong hướng dẫn này. WMI là một nguồn thông tin hệ thống hữu ích có thể được sử dụng cho người dùng máy tính cá nhân và cả quản trị viên của các mạng thương mại. Tuy nhiên, khối lượng áp đảo của các thông điệp không thiết yếu thường có thể làm giảm tính hữu dụng của hệ thống WMI.

Nếu bạn viết WMI là không liên quan, thì nghĩ lại. Các quản trị viên hệ thống mạng của công ty đặc biệt nên bắt đầu kết hợp thông qua các không gian tên WMI để biết thông tin hoạt động của hệ thống. Nếu bạn đã trở thành chủ đề của một Mối đe dọa liên tục nâng cao, bạn đã thắng được biết về sự xâm nhập cho đến khi bạn tìm kiếm nó – đó là bản chất của APT. APT là một nhiễm trùng ẩn có thể không bị phát hiện trong nhiều năm. Kiểu xâm nhập này làm tổn hại đến tính toàn vẹn hệ thống của bạn, tiết lộ dữ liệu để tiết lộ và cung cấp cho hacker đủ thời gian để khám phá mọi góc cạnh trong doanh nghiệp của bạn, đặt bẫy, thay đổi dữ liệu và thu thập thông tin xác thực.

Làm quen với hệ thống WMI, cấu trúc định dạng dữ liệu và cảnh quan thông tin là bước đầu tiên để khai thác sức mạnh của Thiết bị quản lý Windows. Nhiệm vụ tiếp theo của bạn là bắt đầu các hoạt động thực hành và bất kỳ công cụ nào trong danh sách của chúng tôi sẽ cung cấp cho bạn sự hỗ trợ tuyệt vời khi bạn tìm hiểu về Các lớp WMI, Ngôn ngữ truy vấn WMIPowerShellVBScript truy cập vào cửa hàng dữ liệu.

Một khi bạn cảm thấy thoải mái với các quy trình WMI, bạn sẽ ở một vị trí tốt hơn để đánh giá xem hệ thống bảo mật hiện tại của bạn có đủ không để bảo vệ công ty của bạn khỏi các cuộc tấn công phần mềm độc hại và các mối đe dọa dai dẳng. Nếu bạn có thể tìm thấy một hệ thống SIEM hiện đang thu thập dữ liệu WMI, viết thói quen quản lý nhật ký WMI của riêng bạn và đưa chúng vào một hệ thống phát hiện xâm nhập dựa trên máy chủ. Cả hai phần mềm độc hại không tênAPT là những chiến lược xâm nhập đang phát triển nhanh chóng và bạn cần vượt lên trước những vấn đề này để bảo vệ người dùng và dữ liệu trên hệ thống của bạn.

Bạn có giám sát hệ thống WMI của bạn không? Bạn đã phát hiện ra một APT hoạt động thông qua WMI và PowerShell chưa? Bạn có thấy sự xâm nhập khó thoát khỏi? Bạn đã tìm thấy một IDS bao gồm giám sát WMI chưa? Để lại tin nhắn trong Bình luận phần bên dưới để chia sẻ kinh nghiệm của bạn với cộng đồng.