10种最佳Windows管理规范（WMI）监视工具

Windows Management Instrumentation（WMI）自Windows 2000以来一直是所有Windows版本的组件。它是一个接口，应用程序可以通过该接口将通知推送给计算机用户.

它是Windows所有风格的一部分, 包括Windows Server。此功能不限于Microsoft实用程序和操作系统元素。任何软件开发人员都可以在程序中包含WMI通知.

如果您没有时间阅读整篇文章，这里是 我们列出的十种最佳WMI监视工具：

1. 带有服务器和应用程序监视器的SolarWinds WMI监视器（免费试用） 在Windows Server上运行的服务器和应用程序监视器中，将WMI监视器专门化.
2. 带有PRTG的Paessler WMI服务传感器 WMI监视器集成到三合一PRTG中，该监视器可监视网络，服务器和应用程序。在Windows Server上运行.
3. 智人WMI资源管理器 精通技术的深度WMI和Powershell监视器.
4. 纳吉奥斯十一世 具有WMI插件的综合网络监控系统。在Windows和Linux上运行.
5. WMI资源管理器 GitHub上提供免费的WMI数据浏览器.
6. Adrem Free WMI工具 免费的WMI数据查看器和事件日志管理器.
7. 鬣狗WMI库存报告工具 操作系统分析捆绑包的一部分。该工具具有强大的数据收集功能.
8. NirSoft简单WMI查看器 具有脚本界面的WMI数据查看器.
9. 戈弗兰WMIX 内置WQL查询汇编器的免费WMI数据收集器.
10. Powershell WMI资源管理器 使用Powershell进行信息提取的WMI数据收集器.

WMI如何工作?

WMI机制基于以下原则： 分布式管理工作组 （DMTF）在两个已发布的协议中进行了定义：  基于Web的企业管理 （WBEM）和 共同信息模型 （CIM）。本质上，它们通过在环境的桌面管理程序中包含消息检查例程，使后台任务能够通过不断运行的桌面环境.

该例程提供的服务有点像信鸽系统。希望在桌面上显示其通知的应用程序将它们放置在特定的内存区域中。当桌面程序循环回到指示其检查消息的位置时，所有等待的通知将依次处理并显示在桌面右侧的可扩展面板中.

WMI问题

包含“已发布”通知的“桌面”区域称为 活动中心. 处理完所有消息后，桌面将向用户显示警报，通知侧面板中是否存在通知。可以访问操作中心的图标的设计也会更改，以显示未读通知的存在。此图标是一个方形的气泡，如果没有未读的通知，则是空心的，如果有，则是实心的。这两种沟通方式 不一定允许用户看到那些通知.

“操作中心”不是永久可见的，因此仅当用户选择打开侧面板时，消息才会被阅读。有意或通过健忘, 用户可能永远不会打开操作中心 因此可能永远不会阅读这些通知。系统托盘中的通知图标上的上下文菜单还使用户能够从操作中心刷新通知，而无论是否已阅读它们.

对于商业软件的开发人员来说，使用WMI消息传递是一个有用的“勿忘我”渠道，它也是 网站可以通过WBEM通过WMI推送通知. 这意味着通知系统作为提醒潜在客户产品可用性的一种方法而被过度利用。它已成为重要的营销渠道。由于人们倾向于抵制销售推销，因此他们已从行动中心受益。它可能充满“垃圾邮件”，因此用户定期清空Action Center通知而不读取它们中的任何一个，这很正常，这与删除用户所有 垃圾 他们的电子邮件系统中的文件夹.

用于WMI

无视行动中心消息是一种耻辱，尤其是在商业情况下. WMI被许多重要的业务应用程序使用，甚至网络管理功能也会发送WMI通知. 例如，可以将SNMP设置为通过WMI将警报处理到Action Center中。所以, 您可以更有效地使用WMI 帮助您管理网络并提醒最终用户设备上的错误.

WMI包含API，并且如果您具有编程支持，则可以使用此系统通过警报与最终用户进行通信。但是，为了改变文化并鼓励用户放弃对行动中心的偏见，浪费时间, 您需要过滤掉不相关的消息和营销策略.

WMI工具

如果可以正确过滤和管理这些消息，则可以利用WMI通知来获取有关计算机，服务器或网络的信息。不幸, 操作中心不包含任何控件. 但是，市场上有许多有用的WMI助手可以帮助您利用WMI通知中包含的信息，而不必走遍垃圾邮件.

以下各节说明了每种工具的好处.

最好的WMI监视工具

1个. 带有服务器和应用程序监视器的SolarWinds WMI监视器 （免费试用）

SolarWinds提供了一系列出色的基础架构监控工具及其 服务器和应用程序监视器 包括WMI监视实用程序。但是，这是一种付费产品，您只需下载以下内容即可获得SolarWinds WMI专业知识： 免费的WMI Monitor. 的 免费工具 不是服务器和应用程序监视器的一部分。它是从头开始开发的完全独立的软件 一个独立的实用程序.

该工具可在所有Windows环境中运行，并且可以永久免费使用。该工具仅监视一台服务器，但只要将运行该软件的计算机连接到网络，就不必将其安装在同一台服务器上.

此工具将仅通过商业上有用的应用程序传递WMI通知： 活动目录, 的SharePoint, 交换服务器, 互联网信息服务, 和 SQL服务器. 因此，这立即消除了许多不相关的垃圾邮件通知。通知过滤和管理的设置有些技术性和 如果您了解WMI令牌的工作原理，则可以定制通知. 如果您具有编程功能，甚至可以编写自己的脚本。但是，如果您没有时间进行所有操作，则可以使用 该工具随附的模板.

SolarWinds为其用户社区运营一个在线论坛。这就是所谓的 钉入 而且任何人都可以使用它-您不必从SolarWinds付费或购买产品。您可以从THWACK用户那里获得WMI Monitor的额外模板。 免费.  模板修改了Monitor的通知收集例程。它们充当过滤器，并且还将基于消息计数和频率以及通知的组合生成警报。本质上，模板是WMI Monitor的知识库，它们将为您提供量身定制的相关警报，而无需编写脚本。您可以评估服务器 & 上的应用程序监视器 30天免费试用.

SolarWinds服务器 & Application Monitor下载30天免费试用版

2. 带有PRTG的Paessler WMI服务传感器（免费试用）

Paessler不会生产很多独立工具。取而代之的是，它运送了一个整体包装，称为 PRTG网络监控器, 那 涵盖所有可以想象的实用程序 您可能需要监视网络，服务器和应用程序。该保险杠包装包含一系列“感应器.” PRTG的功能取决于您激活的传感器。因此，如果您需要网络监视器，则可以购买PRTG并打开网络监视传感器。如果您在服务器监视器市场上，只需打开PRTG的服务器监视器传感器.

PRTG包含WMI传感器, 因此，您可以将软件包用作WMI监视器，而将所有其他传感器都关闭。该策略的一大好处是，它不会花费您任何费用。 Paessler的PRTG充电频段是根据您要使用的传感器数量计算的，并且系统是 100个或更少的传感器免费.

上面的屏幕截图显示了PRTG如何解释WMI通知。在此视图中，您可以看到WMI和SNMP通知的性能图。这些图代表生成的通知的数量，在此视图中，您可以看到整整一年的数据价值. 可以将视图缩减为两天的时间范围, 给您每小时的通知量。警报也显示在图表上，表现为性能线上的点.

该图仅显示了一种可以使用WMI通知数据的方式. 仪表板是完全可定制的 您还可以深入查看单个通知。您还可以基于WMI消息创建自定义警报.

PRTG是一种非常全面的工具，很可能您希望打开WMI功能之外的其他传感器。例如，上图中的用户选择实施 SNMP监控 也一样这种策略是完全可行的，甚至可以在免费版本的100个传感器限制内进行管理。如果您想完全部署PRTG，则必须付费。你可以得到 PRTG的30天免费试用 无限激活传感器.

Paessler PRTG Network Monitor下载30天免费试用版

3. 智人WMI资源管理器

Sapien的WMI Explorer生成了完整的WMI管理工具。这是更多 深入的WMI工具 比该列表中的其他列表更重要，并且仅关注WMI通知。它还使您可以访问 电源外壳. 这是一个非常技术性的工具，如果您了解PowerShell的工作方式以及WMI消息的结构，那么您将永远不想使用任何其他工具来访问WMI系统。如果您不熟悉编程概念，并且不能很好地使用代码和令牌，那么您将很难从该实用程序中获取任何有意义的信息.

Sapien WMI Explorer抛开了用户友好的前端的帷幕，使您直接进入WMI数据的陷阱。这相当于弄污双手的数字方式.

WMI将操作中心消息存储在数据库中，并且 WMI Explorer使您直接进入该数据源. 您可以从安装了Explorer的计算机中检查数据，也可以通过网络访问其他计算机的WMI存储。该程序将甚至 缓存消息 从远程系统访问，因此当无法联系他们时，您仍然可以浏览他们的WMI数据.

如上所述，每台Windows计算机的深处都有大量的WMI通知，您需要先减少过度增长，然后才能检测到任何有意义的信息。. Sapien非常擅长为您提供过滤器和搜索工具 当您深入WMI丛林时，它充当您的砍刀.

该工具包括 VB脚本 和 电源外壳 脚本生成器，用于创建数据收集和格式化程序。再次, 谨慎使用. 如果您不熟悉PowerShell，则最好查看该工具提供的模板。这些是预先编写的脚本，可以自动为您收集数据.

WMI数据库中的每个通知通常都链接到一个说明，该说明由提供通知生成程序的软件公司在线提供。该信息可以提供 有关任何错误代码的更深入的说明 包含在WMI消息中，甚至提出解决方案。 WMI Explorer引入了这些指南，以帮助您解决WMI消息提示的问题.

数据可以导出到 的HTML, XML格式, CSV, 和 纯文本. WMI Explorer没有精美的用户界面，因此开发人员希望用户将数据传输到其他应用程序（例如Excel）中进行分析.

WMI Explorer不是免费的，但是非常便宜。您所支付的价格使您可以永久使用该软件，但只能提供一年的支持。该支持不仅是帮助台，而且还包括 包括补丁和更新. 您可以购买后续年份的支持包.

4. 纳吉奥斯十一世

Nagios Core是 一个无与伦比的免费网络监控系统. 还有一个付费版本，称为Nagios XI。可以通过非常活跃的用户社区免费提供的附加组件来增强这两个版本. Nagios的两个版本均使用WMI收集数据并将其呈现给管理员. 社区中还提供了许多与WMI相关的插件.

WMI归类为 一个“无代理”系统. 这意味着监视程序无需在要监视的每台设备上部署其自己的客户端组件。这是因为无论如何已经生成了WMI通知，因此WMI监视器的所有开发人员需要做的就是编写中央管理器来收集这些消息。. Nagios集成了这样的管理器.

Nagios继续前进 视窗 和 的Linux. 但是，不要认为如果将监视器安装在Linux计算机上就无法收集WMI数据，因为系统会通过网络进行连接以在与其连接的每台计算机上浏览系统数据。该探索包括收集WMI数据.

Nagios的WMI使用并未专门定向到仪表板中的一个屏幕，因为 该工具利用WMI系统 收集有关应用程序和主机性能的数据，因此您在工具中看到的许多实时状态反馈实际上是基于WMI通知的.

5. WMI资源管理器

WMI工具有时称为 CodePlex WMI资源管理器 由于其代码以前可以在 CodePlex 平台。但是，CodePlex不是一个软件仓库，它是一个代码存档，并且代码现在已移至 的GitHub.

这个工具是 一个开源项目 你可以 免费使用. 它是由系统管理员开发的，他找不到合适的工具来使他能够对WMI通知进行分类，因此他自己写了一个。然后，他将该工具提供给其他人.

这是 WMI数据浏览器. 界面布局类似于Windows 文件管理器. 它在窗口左侧的面板中具有树形结构，类似于文件资源管理器中的目录面板。在下一个面板中，您可以按类别缩小记录范围，然后可以使用搜索面板进一步过滤结果。屏幕最右边的面板是数据查看器，显示了 当前所选对象的详细信息.

这些不同面板实际显示的是 WMI查询语言. 因此，当您从每个列表中选择选项时，您实际上就是在组装 WQL查询. 该界面将查询组合在屏幕底部的一行中，因此这实际上也是 WQL教程. 使用WMI Explorer时，您将对语言更加熟悉.

这是一个非常简单的界面，您不需要专业技能即可使用。您只要拥有管理员密码，就可以通过网络远程浏览任何计算机。除了组装WQL查询外，该工具还将生成PowerShell脚本，以在WMI数据库中传递和执行查询并返回结果. 该工具负责获取WMI数据所需的所有编程工作.

6. Adrem Free WMI工具

来自的免费WMI工具 肾上腺素 是一个单一界面，其中包括各种WMI操作工具，所有这些工具都可通过侧面菜单访问。该工具能够 挖掘WMI数据 在安装它的计算机上，它还可以查询可以通过网络联系的任何其他计算机-尽管您需要这些计算机的管理员密码.

WMI工具包括对事件日志的访问，它们还可以 查询系统状态 为了你。这些实用程序使 免费工具包 进入轻量级的系统监视工具，使您不仅可以简单地查看WMI消息或收集其来源和频率的静态信息.

界面中可用的视图为：

• 总览 –给出一般系统摘要
• 工艺流程 –显示正在检查的机器上的所有当前活动过程
• 服务 –所有已安装服务及其状态（包括不活动的服务）的列表
• 事件记录 –机器上所有事件日志的列表
• 硬件 –硬件状态的实时详细信息
• 操作系统 –所有活动的操作系统组件
• WMI资源管理器 – WMI查询语言解释器

这套工具为您提供 非常全面的控制 通过您企业中的Windows计算机。工具集结构的唯一缺点是，一次只能提供一台计算机的视图.

数据解释屏幕意味着您很少需要转到 WMI资源管理器 直接对原始数据进行调查的工具。对大多数人来说, 系统状态可视化和精心计划的数据布局 将提供足够的信息.

如果Adrem曾经创建过该实用程序的合并版本，那么它将是一个成熟的基础架构监视系统。的 令人愉悦的GUI界面, 加上其视图限制，使得该工具 非常适合小型网络, 所有者-操作员可能必须负责管理系统的地方. 您不需要任何技术技能即可安装和使用此功能强大的系统监视实用程序包.

7. 鬣狗WMI库存报告工具

Hyena是由系统工具软件创建的系统监视程序包。的 企业版 该包中包括 WMI库存报告工具. 这是一个查询解释器， VBScript生成器. 该实用程序通过在一系列列表中显示每个查询元素，从而消除了监视WMI的所有编程要求。用户使用点击选项组合查询，然后该工具将组合的查询打包在VBScript中以将其传递到WMI数据库并检索结果.

在您求助于 WMI查询汇编器, 您可以浏览的图书馆 预先查询, 其中之一可能已经满足您的目标。无论运行库查询还是创建自己的库查询，都可以选择在自己的计算机，远程计算机甚至计算机组上运行调查。您将需要访问的所有计算机的管理员权限.

该实用程序称为“库存报告工具”，您可以使用它来记录有关每个位置的许多详细信息 视窗 您已连接到网络的计算机.

该工具可以收集的信息类型包括：

• 计算机品牌，型号和系统资产ID
• CPU类型，架构，容量和利用率
• 内存容量和利用率
• 操作系统，Service Pack级别和序列号
• 计算机MAC地址和IP地址以及DHCP详细信息
• 已安装的应用程序，修补程序和安全更新

该工具包括 动作执行功能, 这使您可以执行对收集到的WMI数据起作用的程序。该任务自动化包括 日志管理, DHCP地址管理, 启动或终止进程, 删除应用, 创建系统启动例程, 和 命令重启或关闭. 可以记录所有Hyena活动以进行审核.

鬣狗的弱点是它的界面。它擅长收集数据，但不擅长显示数据，实用程序中没有很多分析功能。但是，您可以将数据从Hyena导出到Access或Excel进行分析.

鬣狗不是免费工具，但您可以免费试用30天.

8. NirSoft SimpleWMIView

NirSoft提供 免费的WMI数据库前端, 称为SimpleWMIView。此工具显示在给定计算机上给定WMI名称空间中遇到的记录。该工具将WMI记录制成表格，以便于查看，这种格式还使记录易于写到 CSV文件 导入其他工具，例如Excel。也可以写出来 纯文本, ŤAb分隔, 的HTML, XML格式, 和 JSON格式 格式.

该实用程序的下载文件是其可执行文件，因此不需要任何安装过程。您只需运行下载的文件即可使界面运行。 SimpleWMIView也可以是 在命令行运行 带有一系列选项，无需打开界面即可将您的WMI数据保存到文件中.

该程序将访问存储在安装了SimpleWMIView软件的同一台计算机上的WMI记录。然而, 可以连接到其他计算机 通过接口通过网络.

该界面包括一些简单的过滤器，您可以设置 您自己的WQL数据过滤器 如果您了解查询语言。该界面还可以对界面中显示的任何列上的数据进行排序。所有这些数据操作动作也可以在命令行中指定.

通过命令收集数据的能力使得可以 将此实用程序集成到批处理作业中并定期运行查询. 如果要将WMI消息归档到日志文件中，这是一个不错的选择。因此，您可以使用此工具创建自己的WMI日志文件服务器.

如果您正在寻找该实用程序，效果很好 原始数据处理工具. 它并不是真正的WMI分析工具。但是，该工具提供的导出格式范围意味着它对于任何其他工具都是一个很好的后端，可以提供更好的分析功能.

9. 戈弗兰WMIX

Goverlan的主要产品是网络监控工具，称为 达到. 该公司还生产许多补充工具，WMIX就是其中之一。的 WMIX是免费的WMI数据收集器.

与该列表中的其他一些工具一样，WMIX只是在GUI前端中表示WMI查询语言搜索的元素。在每个选项面板中选择元素时, 您将在屏幕底部的字段中看到WQL查询集合. 因此，它为您提供了一种熟悉WQL的好方法.

WMI查询通常通过VBScript的PowerShell管理。该界面将您的WQL语句打包为脚本，因此您不必担心学习这两个系统的命令语言。如果您有兴趣编写自己的脚本以进行将来的WMI监视，则可以在WMIX界面中组合WQL查询，然后 提取它们以包含在脚本中.

数据查看器以树状结构显示WMI记录，使您可以深入研究消息类别，扩展每个节点以显示更多详细属性。侧面板说明了每个节点的属性。这种布局使浏览Windows计算机的状态和属性变得非常容易。.

WMIX是一个非常有吸引力的查询和脚本生成器. 它既可以用作指南和教学工具，也可以用作数据访问界面。该工具适用于任何规模的网络管理员，但对于依赖Windows计算机的小型系统的管理员来说，它将特别有用.

10. Powershell WMI资源管理器

Powershell WMI Explorer是 免费的爱好者开发的WMI界面. 该工具已经存在很长时间了，并且是最早的WMI解释器之一。尽管界面不是很复杂，但它或多或少 开始了WMI解释器的整个软件类别 并影响了此列表中所有其他工具的开发。有时会用开发者的名字来称呼它，因此您可能会将此工具称为Marc van Orsouw的WMI Explorer。 Van Orsouw先生也将自己标识为“ / \ / \ O \ / \ /”，因此有时用于此工具的另一个名称是MoW WMI Explorer.

Explorer可以访问本地计算机上的WMI数据，也可以通过网络连接以访问其他计算机上的WMI数据。该界面无法同时从多个来源获取数据。但是，您可以从每个源收集WMI记录，将它们写出到文件中，然后合并这些文件（如果要对网络上的WMI活动进行统一概述）.

该界面包含四个主面板– 左侧有两个索引面板，右侧有两个较宽的数据访问面板. 第一个索引面板显示计算机上可用名称空间的文件资源管理器类型视图。左侧的第二个面板列出了WMI的所有数据类选项。右下方的面板说明了所选类别，并显示了所有可用的属性。右上方的面板可让您组合查询然后执行.

WMI数据获取通过以下方式自动进行 电源外壳, 因此您无需编写任何程序即可收集数据.

该工具中的“帮助”面板特别有用，因为它解释了每个数据类的含义。有很多类，因此即使您不打算使用该工具直接查询WMI，本参考手册也可以派上用场.

WMI问题

许多人倾向于忽略Action Center通知的趋势是 给黑客的礼物. 相似地, 入侵检测系统通常会忽略WMI通知 因为太平淡无助，难以攻击。然而, WMI可用于攻击策略的每个阶段 并将其与PowerShell结合使用以跨网络传输数据和查询，使该工具 一目了然的数据盗窃渠道.

WMI消息通常不会放入物理文件中。这意味着它们永远不会成为 基于主机的入侵检测系统 （HIDS），永远不会被 安全信息管理员 （模拟人生） 西门子. 因此，简单地定期（每天）将WMI消息转储到文件中，将开始 跟踪那些WMI通知 只要找到可以处理日志服务器进程生成的日志文件格式的HIDS或SIM.

PowerShell在Windows系统中无处不在 阻止此服务方法的任何尝试都将禁用计算机的实用性，因为太多的应用程序使用了该服务，因此无法将其视为可选系统。因此，尽管PowerShell对黑客具有明显的吸引力, 基于网络的入侵检测系统 （NIDS）不一定总是对这项基本服务的活动过于关注.

WMI操作方法包括称为“订阅.”如果该命令被杀死，它将重新启动WMI进程。因此，这将为高级持续威胁（APT）提供有用的机制 即使在重新启动或由反恶意软件执行系统清理之后，仍然可以在计算机上运行.

WMI和PowerShell的结合为无文件恶意软件提供了一种有效的方法，即使原始感染已被清除，其也可以在计算机上保持活动状态。但是，可能不需要进行初始的，可追溯的感染。网站能够 推送WMI通知, 在用户许可下实施。即使不再在计算机的浏览器中打开网站，该机制也可以使网站向用户发送通知。所以, 远程指挥中心可以通过WMI系统轻松地进行恶意攻击. 通过传递持久性WMI订阅从远程站点请求的警报，可以操纵桌面进程将恶意指令传输到每台Windows计算机。. 可以通过无害的PowerShell例程协调网络范围的活动.

所有计算机用户在允许从鲜为人知的网站发出通知时都保持谨慎。但是，众所周知，黑客 背back式 通过受信任站点的网站传播病毒。受感染或完全伪造的产品更新是 另一种众所周知的病毒分发方法, 并且如果系统修改是作为WMI通知设置实现的，而没有在计算机上存储任何文件, 防病毒系统无法发现它.

监视WMI

Windows管理规范被软件提供商和网站广泛使用，以将错误信息和事件公开信息传达给Windows计算机的用户。计算机所有者似乎对WMI的功能不太感兴趣，但是 他们应该注意它.

如您在本指南中所读。 WMI是有用的系统信息的良好来源，可以供私有计算机用户以及商业网络的管理员使用。然而, 大量的非必需消息通常会淹没WMI系统的实用性.

如果您将WMI注销无关紧要，则 再想一想. 公司网络系统管理员应该特别开始梳理WMI名称空间以获取系统活动信息。如果您已经成为 高级持续威胁, 在您寻找入侵之前，您不会知道它-这就是APT的本质. APT是一种隐藏的感染，可能多年无法发现. 这种类型的入侵会损害您的系统完整性，使数据暴露在外，并为黑客提供足够的时间来探索业务的每个角落，设置陷阱，更改数据并收集身份验证凭据。.

熟悉WMI系统，其数据格式结构和信息格局是利用Windows Management Instrumentation的强大功能的第一步。您的下一个任务是开始动手操作，当您了解以下内容时，我们列表中的任何工具都将为您提供出色的支持 WMI类, WMI查询语言 和 电源外壳 和 VB脚本 访问数据存储.

一旦您熟悉WMI流程, 您将可以更好地评估您当前的安全系统是否足够 为了保护您的公司免受无文件恶意软件攻击和高级持续威胁。如果找不到当前正在收集WMI数据的SIEM系统, 编写自己的WMI日志管理例程 并将其输入到基于主机的入侵检测系统中。都 无文件恶意软件 和 APT 是快速发展的入侵策略，您需要克服这些问题，才能保护系统上的用户和数据.

您是否监视WMI系统？您是否发现了通过WMI和PowerShell运行的APT？您是否发现难以消除入侵？您是否找到了包含WMI监视的IDS？在留言 注释 以下部分与社区分享您的经验.