WMI技术介绍和应用——Event Provider
在《WMI技术介绍和应用——Instance/Method Provider》一文中,我们介绍了Instance和Method Provider的编写方法。本文我们将介绍更有意思的“事件提供者”。在《WMI技术介绍和应用——事件通知》中,我们曾经提到事件是分为两种:intrinsic event和extrinsic event。这两种事件提供者在编写上也非常类似,我们先以extrinsic event为例。(转载请指明出于breaksoftware的csdn博客)
intrinsic event provider
之前生成工程的过程和《WMI技术介绍和应用——Instance/Method Provider》中介绍的一致,但是我们这次要新增的ATL class则不同
在”名称“页,我们在short name中填上我们事件提供者的名称”TestEvent",其他输入框内容将自动生成。
事件类型我们选择extrinsic event,其他不填
在“属性”页,将Threading model设置为Both。Support选项都勾选上
执行完之后,我们就生成了一个mof文件、一个TestEvent.h和TestEvent.cpp文件。我们继续从mof文件入手,我们申明一个事件类
[Locale(1033) : ToInstance,UUID("{E5EDE7F6-D9F9-4195-8E97-643B71F2FB91}") : ToInstance]
class ClassEventInstance: __ExtrinsicEvent
{
string name = "CIN";
string value = "CIV";
};然后注册一个事件提供者,并指定查询命令
instance of __EventProviderRegistration
{
provider = $TestEvent;
EventQueryList = {"select * from ClassEventInstance"};
};再回到cpp代码文件,首先我们要修改类名
const static WCHAR * s_pMyClassName = L"ClassEventInstance"; 其次我们要修改AccessCheck函数,删除掉这行,否则我们查询不会成功
hr = WBEM_E_ACCESS_DENIED;我们需要修改ProvideEvents函数,在该函数末尾新增如下逻辑
HANDLE hThread = (HANDLE)_beginthread(ThreadRoutine, 0, this);
CloseHandle(hThread);我们启动一个线程,用于事件的发送。我们传入this指针只是为了之后调用我们类中的一个方法。我们看下线程函数
static void ThreadRoutine(void* param) {
OutputTrace("CTestEvent::ThreadRoutine");
CoInitializeEx(NULL, COINIT_MULTITHREADED);
CTestEvent* pThis = (CTestEvent*)(param);
while(true) {
Sleep(1000*2);
pThis->FireEvent();
}
CoUninitialize();
};这段逻辑,我们在一个死循环中每隔两秒钟触发一次事件——FireEvent。FireEvent本来是模板自动生成的,而我们借用它实现事件的触发。这儿需要注意一个文件,本文主要讲解搭建的关键步骤,而对很多其他细节和安全问题没有做过多处理,否则就喧宾夺主了。比如本文中所提到的线程执行函数,其实存在线程安全问题,而我又不想引入COM跨线程问题,所以就如此简单粗暴的编写。
STDMETHODIMP CTestEvent::FireEvent()
{
HRESULT hr = WBEM_S_NO_ERROR;
ATLASSERT(m_pEventClass);
CComPtr<IWbemClassObject> pInstance;
hr = m_pEventClass->SpawnInstance(0, &pInstance);
if(FAILED(hr)) {
return hr;
}
CComVariant value;
value.vt = VT_BSTR;
value.bstrVal = CComBSTR("notepad.exe");
pInstance->Put(L"name", 0, &value, 0);
return m_pSink->Indicate(1, &(pInstance.p) );
}我们Spawn一个实例,然后填充它的一些属性,最后将该对象放入客户端可以访问的sink中。 我们使用之前实现的查询类查询该事件
HANDLE hEvent = CreateEvent(NULL, FALSE, FALSE, NULL);
CAsynNotifyQuery<CInstanceEvent> recvnotify(L"root\\default", L"SELECT * FROM ClassEventInstance", hEvent);
recvnotify.ExcuteFun();我们即可以看到结果
extrinsic event provider
extrinsic event provider实现讲完了,我们再讲讲intrinsic event provider。工程向导方面和extrinsic event provider基本相同,只是在WMI Class页中选择intrinsic event。我们对新的provider取名为IntrinsicEvent。我们也从mof入手,看看怎么修改
[
dynamic : ToInstance,
provider("IntrinsicEvent") : ToInstance, // uses the TestInstance Provider
ClassContext("whatever!"), // information is dynamically
// supported by the provider
DisplayName("IntrinsicClassInstance"): ToInstance
]
class IntrinsicClassInstance
{
[key]
string name = "CIN";
[PropertyContext("IntrinsicClassInstance_Member")]
string value = "CIV";
};首先我们定义Event的类名——IntrinsicClassInstance,并申明其有两个属性——name和value。其次我们我们修改下事件提供者注册对象
instance of __EventProviderRegistration
{
provider = $IntrinsicEvent;
EventQueryList = {"select * from __InstanceCreationEvent where TargetInstance isa \"IntrinsicClassInstance\""};
}; 从WQL的写法我们可以发现,这种写法和检测进程创建的Win32_Process类类似,这就是内部(Intrinsic)事件的特点。cpp的修改和extrinsic event provider中介绍的过程类似,只是Intrinsic没有FireEvent方法,那我们就自己申明和定义一个
STDMETHODIMP CIntrinsicEvent::FireEvent()
{
HRESULT hr = WBEM_S_NO_ERROR;
ATLASSERT(m_pEventClass);
CComPtr<IWbemClassObject> pInstance;
hr = m_pDataClass->SpawnInstance(0, &pInstance);
if(FAILED(hr)) {
OutputTrace("CIntrinsicEvent::FireEvent1");
return hr;
}
CComVariant value;
value.vt = VT_BSTR;
value.bstrVal = CComBSTR("notepad.exe");
pInstance->Put(L"name", 0, &value, 0);
CComPtr<IWbemClassObject> pEventInstance;
hr = m_pEventClass->SpawnInstance(0, &pEventInstance);
if(FAILED(hr)) {
return hr;
}
CComVariant varTargetInst(pInstance);
pEventInstance->Put(L"TargetInstance", 0, &varTargetInst, 0);
return m_pSink->Indicate(1, &(pEventInstance.p) );
}我们将新生成的实例放入到pEventInstance实例的"TargetInstance"中,这也和上面的WQL的“TargetInstance isa \"IntrinsicClassInstance\"”相对应。pEventInstance实例的类是我们在模板基础上新增的,我们要修改Initialize函数,新增
hr = m_pNamespace->GetObject(CComBSTR("__InstanceCreationEvent"),
0,
pCtx, //passing IWbemContext pointer to prevent deadlocks
&m_pEventClass,
NULL);
if (FAILED(hr)) {
return hr;
}我们使用如下代码访问该事件
HANDLE hEvent = CreateEvent(NULL, FALSE, FALSE, NULL);
CAsynNotifyQuery<CInstanceEvent> recvnotify(L"root\\default", L"SELECT * FROM __InstanceCreationEvent WITHIN 1 WHERE TargetInstance ISA 'IntrinsicClassInstance'", hEvent);
recvnotify.ExcuteFun();我们可以得到如下结果
工程链接:http://pan.baidu.com/s/1o6QcgPW 密码:4l5v