Case 1

       strType = "Ошибка"

     case 2

       strType = "Предупреждение"

     case 3

       strType = "Информация"

     case 4

       strType = "Успешный аудит"

     case 5

       strType = "Аудит отказа"

    End Select

    WScript.Echo "----- Новое Событие -----"

    Wscript.Echo "Event ID: " & objReceivedEvent.TargetInstance.EventCode & " Значимость: " & strType & " Log: " & objReceivedEvent.TargetInstance.LogFile

    WScript.Echo "Сообщение: " & objReceivedEvent.TargetInstance.Message

Loop

Как видно из примера, код WQL-запроса достаточно простой, поэтому, я полагаю, детально пояснять его не нужно. Обращу внимание лишь на одно существенное обстоятельство: при работе с журналами необходимо использовать привилегию Security. В противном случае многие из запросов будут отклонены системой безопасности Windows.

Следующий пример, приведенный на листинге 6, показывает, как произвести очистку журнала приложений (хотя это может быть любой системный журнал аудита), используя метод ClearEventlog класса Win32_NTEventlogFile. Помимо того, что нам необходимо указать привилегию Security, нам также необходимо открыть конкретный экземпляр объекта класса Win32_NTEventlogFile соответствующего журналу приложений.

Листинг 6. Очистка системного журнала приложений (Application Event Log)

strComputer = "."

Set objWMIService = GetObject("winmgmts:{impersonationlevel=impersonate,(security)}!\" & strComputer & " ootCIMV2")

Set objNTEventLog = objWMIService.Get("Win32_NTEventlogFile.Name='C:WINDOWSsystem32configAppEvent.Evt'")