2.2.1.1. Sử dụng WMI trong thu thập thông tin
Thực tế cho thấy, công nghệ WMI được tích hợp sẵn trên hệ điều hành Windows (từ phiên bản 2000 trở đi) đáp ứng đầy đủ các yêu cầu được đề ra. Để thu thập các thông tin mong muốn trên hệ điều hành Windows, cũng như rút ngắn thời gian trong việc ứng dụng công nghệ WMI, module chương trình được xây dựng dưới dạng truy vấn trung gian qua phần mềm Wmic.
Với sự hỗ trợ của công nghệ WMI mà trực tiếp là thông qua chương trình wmic, module thu thập thông tin hệ thống trên máy trạm được xây dựng dựa trên hình 2.26:
Hình 2.26 Sơ đồ hoạt động của module thu thập thông tin trên máy trạm.
2.2.1.2. Sử dụng WMI lấy log hệ thống
Sự kiện ứng dụng (Application Events): Các sự kiện lưu trữ trong mục này được chia làm 3 loại là: lỗi, cảnh báo và thông tin dựa trên mức độ nguy hiểm của sự kiện. Sự kiện ở dạng lỗi là những sự cố tác động đáng kể trên hệ thống như: mất dữ liệu… Sự kiện ở dạng cảnh báo không nguy hiểm như dạng lỗi nhưng có thể dẫn đến lỗi hệ thống trong tương lai. Sự kiện dạng thông tin cung cấp các thời điểm hoạt động thành công chương trình, dịch vụ hay driver.
Sự kiện liên quan tới bảo mật (Security-related Events): Sự kiện dạng này chia làm 2 loại là thành công hoặc thất bại, mô tả các thao tác vận hành hệ điều hành của người dùng. Ví dụ: thao tác đăng nhập hệ thống.
Sự kiện cài đặt ứng dụng (Setup events): Sự kiện này dành riêng cho các máy tính được cấu hình để trở thành một Domain Controller.
Sự kiện hệ thống (System events): Các sự kiện hệ thống được tổ chức tương tự với các sự kiện ứng dụng, điểm khác biệt nằm ở đối tượng phản ánh của sự kiện. Sự kiện dạng này phản ánh các sự cố đến từ các dịch vụ, driver thay vì các chương trình ứng dụng.
Sự kiện chuyển tiếp (Forwarded events): là các sự kiện được gửi tới từ những máy tính khác.
Với việc sử dụng WMI, Windows hỗ trợ lớp NTLogEvent để truy cấp đến Event log của hệ thống. Với việc ứng dụng wmic, việc truy xuất thông tin nhật ký hệ thống trên nền hệ điều hành Windows từ server được thực hiện thông qua hình 2.27:
Quy trình thực hiện của sensor thu thập log hệ thống sẽ được mô tả qua hình 2.28:
Hình 2.28 Sơ đồ thực hiện quy trình lấy log hệ thống rồi gửi trả về máy chủ