|
|
在win7系统环境下,当U盘插入或拔出时日志中的Microsoft-Windows-DriverFrameworks-UserMode/Operational就能查看,比如有的ID表示加载驱动(由此判断U盘插入)有的表示断电(由此
判断U盘停用拔出)
由此可以建立一个计划任务,当U盘插入或拔出时触发它,还可启动一个批处理或其它程序
手动建立一个计划任务比较简单,下面是命令建立计划任务,虽然麻烦,但却有趣
schtasks /create /tn "Uu" /sc ONEVENT /ec Microsoft-Windows-DriverFrameworks-UserMode/Operational /mo *[System[(EventID=1003)]] /tr "D:\2.bat" /f
命令创建计划任务,默认是选择了“激活”
--------------------------------------------------------------------------------------
上面的命令最的是难的是/ec 中的ID值,可以参考下面的和计划任务程序来写:
SCHTASKS /Create /TN EventLog /TR wevtvwr.msc /SC ONEVENT
/EC System /MO *[System/EventID=101]
把/EC System /MO *[System/EventID=101]中的System换成Microsoft-Windows-DriverFrameworks-UserMode/Operational后,查看计划任务程序,发现和手动填写的不一样,只保留*和它前
面的并把System换成Microsoft-Windows-DriverFrameworks-UserMode/Operational后,查看计划任务程序,发现日志那一项正确了,但ID没有,怎么办呢,想了一下,在计划任务程序中把点
击触发器,再点击自定义,点击新事件筛选器,点击日志下拉箭头,选择应用程序和服务日志,选择Microsoft选择Windows选择DriverFrameworks-UserMode/Operational,然后把ID填写好,
点击筛选器旁边的XML,出现了内容:
<QueryList>
<Query Id="0" Path="Microsoft-Windows-DriverFrameworks-UserMode/Operational">
<Select Path="Microsoft-Windows-DriverFrameworks-UserMode/Operational">*[System[(EventID=1003)]]</Select>
</Query>
</QueryList>
发现了*后面的内容该怎样填写,原来*后面的方括号中的“System”是不变的,并且它后面还嵌套了一个方括号 |
|
IP卡
狗仔卡
发表于 2016-6-16 17:20:27
收藏
支持
反对
提升卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡
楼主