WMIアクティブディスカバリ

最終更新日: 20 年 2020 月 XNUMX 日

WMIは、ほとんどのWindowsオペレーティングシステムでのデータおよび操作管理の標準プロトコルです。 次の記事では、WMI収集方法を使用してActiveDiscoveryを適切に構成する方法について説明します。

[データソースの作成]ウィンドウで、[コレクター]フィールドの下の[WMI]を選択する必要があります。 これにより、WMI構成の[アクティブな検出]セクションが更新されます。

コレクタープロトコル/検出方法としてWMIを選択すると、次のスペースを構成するように求められます。 WMI名前空間, WMIクラス, インスタンス識別子として使用されるプロパティ。 まとめると、これらXNUMXつのフィールドは、すべてのWindowのオブジェクトが存在する基本的なWMIファイルシステム階層を構成します。 そのため、コレクターがデバイスから情報を取得する場所に関するパラメーターを定義します。

この階層では、WMI名前空間はルートの最上位を指定します。 監視の目的で、関連データの大部分は CIMv2名前空間、したがって、このフィールドにCIMv2が自動入力される理由。 別の名前空間で情報を探している場合、またはCIMv2を使用しないオペレーティングシステム(つまり、Default \ CIMv5を使用するカーネル2.x)で作業している場合は、目的の名前空間を指定するだけです。

WMI名前空間内には、WMIクラスがあります。 これらのクラスには、ハードウェアとシステムの両方の機能を管理する情報が含まれています。 例えば、 MSFT_NetAdapterクラスには、特定のネットワークアダプターに関連するプロパティの完全なリストが含まれます。

WMIクラス内にある、WMIのファイルシステム階層の最下位層は、WMIプロパティです。 ThESE プロパティ'値 LogicMonitorが行う基本情報です 意志 収集し、どのLogicMonitorで 意志 アラート (つまり、WMIプロパティはこのデータソースのインスタンスと同等です)。 前述のMSFT_NetAdapterクラス内にあるプロパティの例には、Name、DeviceID、MaxSpeed、PortNumberなどがあります。

 

WMI ActiveDiscoveryでのフィルタリング

WMI Active Discoveryは、柔軟なインスタンスフィルタリングをサポートしています。 複数のフィルターを追加して、さまざまなオブジェクトを含めたり除外したりできます。

以下の例は、XNUMXつのフィルターを示しています。

  1. RegexMatchの「交換」を行わないすべての「名前」インスタンスを除外するためのフィルターが追加されました。 これにより、Exchangeプロセスのみが検出されます。
  2. 「ok」ステータスにあるすべてのインスタンスを除外するためのフィルターが追加されました。 Win32_Serviceクラスでは、これは値が エラー、劣化、不明、Pred失敗、開始、停止、サービス、ストレス、回復不能、連絡なし、または通信の喪失。

WMIインスタンスレベルのプロパティ

LogicMonitor WMI Active Discoveryは、指定されたWMIクラス、プロパティ、および名前空間の情報に基づいて、特定のWindowsシステム上のデータソースのインスタンスを自動的に検出します。 LogicMonitorコレクターは、WMIクラスのすべてのインスタンスを検出し、インスタンス識別子としてWMIプロパティを使用して各インスタンスを返します。 WMIプロパティに基づいてXNUMXつ以上のアクティブな検出フィルターを追加して、フィルターの条件を満たす検出されたインスタンスのみが返されるようにすることができます。

たとえば、Windowsシステム内のすべてのネットワークアダプターインスタンスの名前を取得するには、次のWMIクラスおよびプロパティ情報を指定できます。

WMIクラス:Win32_NetworkAdapter

WMIプロパティ:名前

ネットワークアダプタインスタンスは、次のようにインスタンス識別子として名前とともに返されます。

インテル®PRO/ 1000MTネットワーク接続

クエン酸仮想アダプター

MicrosoftISATAPアダプター

WMI Active Discoveryを使用すると、WMIクラスで検出された各インスタンスに関するILP情報を抽出することを選択できます。 この抽出された情報は、デバイスのXNUMXつ以上のシステムプロパティとして保存され、デバイスの理解とトラブルシューティングに役立ちます。

ILPを使用する場合と使用しない場合のWMIActive Discoveryによって検出されたインスタンスと、それぞれについて収集された情報を示す次の表を検討してください。

情報元

ILPなしでインスタンスが検出されました

ILPで検出されたインスタンス

Winlf-(ネットワークインターフェース)

Intel [R] PRO_1000MTネットワーク接続

お名前: Intel [R] PRO_1000MTネットワーク接続

 

Macアドレス: 00:0C:29:C7:1B:EC

 

メーカー: インテル

 

IPアドレス: 192.168.100.100 | fe60::8111:e0a1:ab11:1611

 

速度、タイプ、有効なども報告できます。

WinProcessStats-(プロセス)

StickyNot.exe

お名前: StickyNot.exe

 

作成日: 20150406194852.080015-420

 

ExecutablePath: C:\ Windows \ System32 \ StikyNot.exe

 

コマンドライン: 「C:\ Windows \ System32 \ StikyNot.exe」

 

ProcessId: 3928

 

[このクラスからインスタンスレベルのプロパティを抽出する]チェックボックスをオンにすると、指定したWMIクラスのインスタンスごとに取得するWMIクラスのプロパティを入力できます。

ILPを抽出するXNUMXつのWMIクラスをどのようにリンクするかについての情報の入力を求められます。 具体的には、XNUMXつのWMIクラス間で共有されるWMIプロパティを指定する必要があります。 LogicMonitorは、指定されたWMIプロパティがこれらXNUMXつのクラス間で一致する場合にのみ、XNUMX番目のWMIクラスからインスタンスを検出します。

上記のネットワークアダプタの例では、すべてのネットワークアダプタ名レコードが Win32_NetworkAdapter 対応するネットワークアダプタ名レコードが Win32_NetworkAdapterConfiguration クラス。 WMIの「名前」プロパティは、 Win32_NetworkAdapter & Win32_NetworkAdapterConfiguration したがって、これらXNUMXつのクラスをリンクするために使用できます。

 

フィルタを追加する(ILPを使用)

Active Discoveryフィルターが指定されている場合、フィルター条件を満たす検出されたインスタンスのみが返されます。

ILPを有効にしない場合、検出されたSNMPインスタンスのインスタンス識別子(つまり、SNMPプロパティ値)に基づいてのみフィルターを追加できます。 ILPを抽出することを選択した場合は、検出されたILPに基づいてフィルターを追加できます。 たとえば、ILPを使用すると、無効になっているネットワークアダプター、または特定のバージョンのWindowsで実行されているプロセスのみをフィルターで除外するアクティブ検出フィルターを簡単に作成できます。

 

フィルタを追加する(ILPを使用)

記事上で