C# WMI查询以读取“Microsoft Windows AppLocker/EXE和DLL”C_C#_Wmi_Wql

C# WMI查询以读取“Microsoft Windows AppLocker/EXE和DLL”C

C# WMI查询以读取“Microsoft Windows AppLocker/EXE和DLL”C,c#,wmi,wql,C#,Wmi,Wql,我已经创建了一个代理来使用WMI读取windows事件。我正在使用过去3年的代理收集事件。它用于SEIM产品中。这个查询看起来像 SELECT * FROM Win32_NTLogEvent where LogFile = 'System' or logFile='Active Directory Web Services' 我能够正确地了解事件。但现在我想阅读apploacker事件“Microsoft Windows AppLocker/EXE和DLL”应用程序和安全日志->Microso

我已经创建了一个代理来使用WMI读取windows事件。我正在使用过去3年的代理收集事件。它用于SEIM产品中。这个查询看起来像

SELECT * FROM Win32_NTLogEvent where LogFile = 'System' or logFile='Active Directory Web Services'

我能够正确地了解事件。但现在我想阅读apploacker事件“Microsoft Windows AppLocker/EXE和DLL”应用程序和安全日志->Microsoft->Windows->AppLocker->EXE和DLL

我尝试了下面的查询，但它返回零记录，尽管我有40多条记录。我可以在事件查看器中看到记录

SELECT * FROM Win32_NTLogEvent where LogFile = 'Microsoft-Windows-AppLocker/EXE and DLL'

我尝试了wbemtest，但没有记录没有错误

我不确定这是否可以通过使用WMI的任何其他方式实现。我知道Powershell有一个cmdlet，通过它我可以读取“Microsoft Windows AppLocker/EXE和DLL”事件。但我想使用WMI读取它

任何提示都将受到高度赞赏

提前感谢所有观众。

WMI查询似乎会解析注册表位置HKLM\SYSTEM\CurrentControlSet\Services\EventLog以获取可用的事件日志，请参阅。使用查询结果从Win32\u NTEventLogFile中选择*检查您在那里找到的列表

要添加WMI操作的日志文件，请在上述注册表位置下添加一个新项，在您的案例中，该项的名称为“Microsoft Windows AppLocker/EXE和DLL”。现在，它应该返回带有WMI查询的日志

根据PowerShell版本的不同，您可以使用Get WinEvent命令简化您的操作

获取WinEvent-LogName Microsoft Windows AppLocker/EXE和DLL

您是否以管理员身份运行？