strComputer = "." Set objWMIService = GetObject("winmgmts://" & strComputer & "/root/cimv2") Set objEventSource = objWMIService.ExecNotificationQuery _ ("SELECT * FROM __InstanceOperationEvent WITHIN 5 WHERE TargetInstance ISA 'Win32_Process'") Do While True Set objEventObject = objEventSource.NextEvent() If Right(objEventObject.TargetInstance.Name, 4) = ".scr" Then Select Case objEventObject.Path_.Class Case "__InstanceCreationEvent" Wscript.Echo "Screensaver " & objEventObject.TargetInstance.Name & _ " started: " & Now Case "__InstanceDeletionEvent" Wscript.Echo "Screensaver " & objEventObject.TargetInstance.Name & _ " ended: " & Now End Select End If Loop
它看起來的確有點(diǎn)復(fù)雜,不是嗎?但是別慌:就設(shè)計而言,WMI 事件腳本總是看起來有點(diǎn)復(fù)雜。幸運(yùn)的是,這些腳本只是看起來復(fù)雜;您會看到,這些腳本實(shí)際上并不那么難理解。 注意:好吧,我們最好對最后一句陳述加以限定:只要您了解 WMI 事件構(gòu)成的基本思想,就不那么難理解。如果您還不了解,最好花點(diǎn)時間看看腳本編寫第 2 周網(wǎng)絡(luò)廣播。這個網(wǎng)絡(luò)廣播將為您提供了理解今天專欄文章所需的所有背景信息。 好主意!盡管可能沒有有助于搞清楚我們的某一篇專欄文章的信息,但至少有助于搞清楚這個腳本代碼的意思。 這個特定腳本的開始是以歷史悠久的方式連接到本地計算機(jī)上的 WMI 服務(wù)。通常到這里,我們要執(zhí)行 WMI 查詢以返回信息。正如您所看到的,在這個腳本中我們也要這么做,只是查詢看起來有點(diǎn)不同: Set objEventSource = objWMIService.ExecNotificationQuery _ ("SELECT * FROM __InstanceOperationEvent WITHIN 5 WHERE TargetInstance ISA 'Win32_Process'") 不用說,這不是您所習(xí)慣編寫的 WMI 查詢類型,因?yàn)槲覀冋{(diào)用的是 ExecNotificationQuery 方法,而不是 ExecQuery。(為什么呢?因?yàn)橐O(jiān)控 WMI 事件,就必須使用 ExecNotificationQuery 方法。)今天我們無法詳細(xì)解釋這個查詢,但我們可以說,我們要求 WMI 只要有 WMI 事件(創(chuàng)建、刪除、修改)發(fā)生,就立刻通知我們。這里只有一個問題:我們只想當(dāng) TargetInstance(創(chuàng)建、刪除或修改的項目)是 Win32_Process 類的實(shí)例時才得到通知。 注意:當(dāng)然,從技術(shù)角度來說,還有第二個問題:我們只是每 5 秒鐘檢查一次新事件。如果屏幕保護(hù)程序啟動,3 秒鐘之后結(jié)束,我們很可能就不會得到通知了。 換句話說,假設(shè)創(chuàng)建了一個新文件。新文件是 Win32_Process 類的實(shí)例嗎?不是;它是 CIM_DataFile 類的實(shí)例。因此,我們不想得到通知。假設(shè)修改了一個服務(wù)。我們想要得到通知嗎?不想要,因?yàn)榉?wù)是 Win32_Service 類的實(shí)例。好了,假設(shè)新進(jìn)程(例如屏幕保護(hù)程序)啟動。我們想要得到通知嗎?當(dāng)然想要。別忘了,新進(jìn)程可是 Win32_Process 類的實(shí)例。任何時候如果創(chuàng)建、刪除或修改進(jìn)程,我們都想得到通知。 不過,這些您已經(jīng)意識到了,對吧? 為了獲得這些通知,我們建立一個當(dāng) True 等于 True 時運(yùn)行的 Do 循環(huán): Do While True 句子的語法確實(shí)有點(diǎn)怪異,但這個語法卻能夠使腳本不停運(yùn)行,并且不停監(jiān)控進(jìn)程的創(chuàng)建、刪除和修改,直到終止腳本或重新啟動計算機(jī)。如果沒有這樣的循環(huán),腳本會通知我們屏幕保護(hù)程序何時啟動,但是,隨后腳本就會結(jié)束。結(jié)果,我們永遠(yuǎn)也不會得到屏幕保護(hù)程序何時結(jié)束的通知。 在循環(huán)內(nèi),我們首先要做的就是執(zhí)行下面這行代碼: Set objEventObject = objEventSource.NextEvent() 我們所做的是告訴腳本等待,直到下一個我們所關(guān)心的事件發(fā)生。換句話說,腳本將停留在此行代碼上,直到有進(jìn)程被創(chuàng)建、刪除或修改。假設(shè)進(jìn)程始終不變,假設(shè)我們始終不創(chuàng)建、刪除或修改進(jìn)程。在這種情況下,腳本就會永遠(yuǎn)停在這兒,耐心等待。以防萬一。 現(xiàn)在,我們知道您正在想什么。您正在想:“嗨,稍等一下。我們只關(guān)心屏幕保護(hù)程序。Microsoft Word 也在進(jìn)程中運(yùn)行。如果我們啟動 Microsoft Word,從而創(chuàng)建 Winword.exe 進(jìn)程的新實(shí)例,那不也會觸發(fā)通知嗎?” 您說對了:會觸發(fā)通知。接下來這行代碼就用來解決這個問題。啟動 Word(或者任何可執(zhí)行文件,就這一點(diǎn)而言)確實(shí)都會發(fā)出通知。但我們可以使用下面這行代碼解決這個問題: If Right(objEventObject.TargetInstance.Name, 4) = ".scr" Then 在這里,我們使用 Right 函數(shù)檢查觸發(fā)通知的進(jìn)程的名稱。如果名稱中最右側(cè)的四個字符等于 .scr,我們便假定正在處理的是屏幕保護(hù)程序,因?yàn)槠聊槐Wo(hù)程序的名稱類似 Marquee.scr。如果名稱中的最后四個字符不是 .scr,我們便只是循環(huán)一次,然后等待下一個事件發(fā)生。 那么,如果最后四個字符是 .scr 會怎樣?在這種情況下,我們只關(guān)心兩種可能:屏幕保護(hù)程序啟動或屏幕保護(hù)程序結(jié)束。(我們并不關(guān)心是否有人修改屏幕保護(hù)程序的屬性。)為處理這兩種可能,我們設(shè)置一個 Select Case 塊,用于檢查事件實(shí)例的 Class: Select Case objEventObject.Path_.Class 如果 Class 等于 __InstanceCreationEvent,則意味著已創(chuàng)建新進(jìn)程(即新屏幕保護(hù)程序)。在第一個 Case 語句中,我們檢查 Class 是否等于 __InstanceCreationEvent。如果等于,我們便回顯如下事實(shí):特定屏幕保護(hù)程序(使用進(jìn)程名稱表示)在特定時間(使用 VBScript 函數(shù) Now)啟動: Case "__InstanceCreationEvent" Wscript.Echo "Screensaver " & objEventObject.TargetInstance.Name & " started: " & Now 意思清楚了,對吧?現(xiàn)在,假設(shè)屏幕保護(hù)程序已結(jié)束,這就會導(dǎo)致刪除屏幕保護(hù)程序進(jìn)程。為處理這種可能,我們檢查 __InstanceDeletionEvent 類是否有新實(shí)例。如果發(fā)生屬于該類的事件(表示已刪除屏幕保護(hù)程序進(jìn)程),我們便回顯如下事實(shí) - 指定的屏幕保護(hù)程序在指定時間停止: Case "__InstanceDeletionEvent" Wscript.Echo "Screensaver " & objEventObject.TargetInstance.Name & " ended: " & Now 至此您已實(shí)現(xiàn)了您的目的。運(yùn)行此腳本后,會返回類似下面的信息: Screensaver Script Center.scr started: 2/9/2006 9:11:07 AM Screensaver Script Center.scr ended: 2/9/2006 9:11:17 AM 注意:Script Center.scr 到底是什么?下載它,然后自己看。 我們還要補(bǔ)充兩件事。第一,最好在 Cscript 下的命令窗口中運(yùn)行此腳本,也就是說,要開始監(jiān)控,請打開命令窗口,然后鍵入類似下面的命令(當(dāng)然,具體內(nèi)容視腳本名稱而定): cscript screensaver_monitor.vbs 第二,正如我們前面所指出的,此腳本設(shè)計為永遠(yuǎn)運(yùn)行。另一方面,什么事都不會永遠(yuǎn)持續(xù)下去,是吧?如果要停止監(jiān)控,我們只需按 Ctrl+C,關(guān)閉命令窗口,或者終止 CScript.exe 進(jìn)程。記住,腳本專家決不會讓您陷于沒有出口的無限循環(huán)中。(您知道嗎:這對我們這的工作真是形容得非常恰當(dāng)。)
