WMIMon : Surveiller en temps réel l'activité liée à WMI sur votre serveur

Le  "channel" Microsoft-Windows-WMI-Activity/Trace (qui n'est pas activé par défaut) vous permet de voir l'activité WMI sur votre machine. Néanmoins, il n'est pas très facilement exploitable:

• Il est possible par exemple de connaître le PID du processus client qui a fait la requête mais il n'est pas possible de connaître son nom.
• On ne peut isoler facilement l'activité lié à un processus client particulier, à un "namespace" particulier  ou sur certaines requêtes.

Pour pallier à cet inconvénient, j'ai développé un petit outil (WMIMON.exe) qui va permettre en temps réel l'activité de votre serveur. Il sera possible de filtrer ses sorties afin de ne visualiser que l'activité qui nous intéresse.

J'ai mis à disposition le projet et les binaires  sur  github.com/luctalpe/WMIMon

N'hésitez pas à l'utiliser!

Il pourra vous permettre :

• de déterminer quel outil/utilisateur/machine et quelles requêtes génère la charge CPU liée à WMI ( par exemple sur les processus WMIPRVSE.EXE)
• de comprendre l'activité WMI générée faites par un composant que vous devez "troubleshooter".
• Executer un script powershell lorsqu'une erreur WMI est retournée
• ...