使用 PowerShell 观看观察者

检查任务

使用 Get-ScheduledTask 来验证状态非常简单。

如果它已经停止，我可以使用 Start-ScheduledTask。当然，我不想记住每天运行几次，因此我使用 PowerShell 配置文件脚本采取了稍微不同的方法。因为我总是打开一个 PowerShell 会话，这似乎是一个聪明的主意。登录时我做的第一件事是打开 PowerShell 会话。在我的 PowerShell 配置文件脚本中，我添加了此代码。

$task = Get-ScheduledTask -taskname DailyWatcher
if ($Task.state -eq 'Ready') {
    Write-Host "Restarting scheduled task $($task.Taskname)" -ForegroundColor yellow
    $task | Start-ScheduledTask
}

我意识到这每隔几天才运行一次，但它确实很重要。但是，因为我的 PowerShell 会话几乎一直在运行，所以我可以创建一个事件订阅者来监视计划任务的更改。

监控观察者

如果您还记得之前的文章，事件订阅者仅在您的 PowerShell 会话打开时持续。这就是为什么我在不断运行的计划任务中创建 DailyWatcher 订阅的原因。由于我的 PowerShell 会话几乎一直打开，因此我可以创建一个交互式事件订阅者。如果我重新启动 PowerShell，我将获得新版本的事件订阅者。在我的配置文件脚本中，我添加了这些行：

#create the event subscription to monitor the scheduled task
. C:\scripts\MonitorDailyWatcher.ps1 | Out-Null

我们来看看这个脚本。

#requires -version 5.1 
#requires -module CimCmdlets

#verify the scheduled task exists and bail out if it doesn't.
$name = "DailyWatcher"
Try {
    $task = Get-ScheduledTask -TaskName $Name -ErrorAction Stop
}
catch {
    Throw $_
    #make sure we bail out
    return
}

#if by chance the task is not running, go ahead and start it.
if ($task.State -ne 'running') {
    $task | Start-ScheduledTask
}

<#
the scheduled task object is of this CIM type
Microsoft.Management.Infrastructure.CimInstance#Root/Microsoft/Windows/TaskScheduler/MSFT_ScheduledTask
#>


$query = "Select * from __InstanceModificationEvent WITHIN 10 WHERE TargetInstance ISA 'MSFT_ScheduledTask' AND TargetInstance.TaskName='$Name'"
$NS = 'Root\Microsoft\Windows\TaskScheduler'

#define a scriptblock to execute if the event fires
$Action = {
 $previous =  $Event.SourceEventArgs.NewEvent.PreviousInstance
 $current =  $Event.SourceEventArgs.NewEvent.TargetInstance
 if ($previous.state -eq 'Running' -AND $current.state -ne 'Running') {
    Write-Host "[$(Get-Date)] Restarting the DailyWatcher task" -ForegroundColor green
    Get-ScheduledTask -TaskName DailyWatcher | Start-ScheduledTask
 }
}
Register-CimIndicationEvent -SourceIdentifier "TaskChange" -Namespace $NS -query $query -MessageData "The task $Name has changed" -MaxTriggerCount 7 -Action $action

该脚本的编写独立于我的 PowerShell 配置文件。它首先验证计划任务是否存在，如果没有找到则返回错误。如果该脚本未运行，该脚本也会启动该任务。现在来说说好东西。

创建事件订阅者的一种方法是通过 WMI。我们始终能够设置一些东西来监视 WMI 中某个实例的更改。但因为我认为特定于 WMI 的 cmdlet 已被弃用，所以我将使用 CIM 等效命令。创建事件订阅的命令是 Register-CimInspirationEvent。关键要素是查询。

$query = "Select * from __InstanceModificationEvent WITHIN 10 WHERE TargetInstance ISA 'MSFT_ScheduledTask' AND TargetInstance.TaskName='$Name'"

__InstanceModificationEvent 引用是应存在于所有命名空间中的系统类。每当对指定类型的对象进行更改时，此类应该触发一个事件。在我的查询中，这是通过使用 TargetInstance 属性和 ISA 运算符指定的。如果修改的对象是 ScheduledTask，这是我通过将 Get-ScheduledTask 管道传输到 Get-Member 发现的，并且如果特定的计划任务名称与我的任务匹配，则会发生一个事件由事件订阅者触发和处理。该查询的另一个非常重要的部分是轮询。在查询中，我要求在更改后 10 秒内收到通知。换句话说，每 10 秒检查一次。您希望这个数字足够小以满足您的需求，但又不能太小以致您最终需要不断轮询。

我的脚本中的另一个元素是操作脚本块。当事件触发时，部分事件参数是对对象的前一个实例和新实例或目标实例的引用。当想要根据属性差异做某事（或多或少是我正在做的事情）时，这会派上用场。如果之前的实例正在运行，而新实例没有运行，那么我将启动计划任务。真的就是这么简单。

当我的个人资料运行时，我最终会获得此事件订阅者。

如果任务停止，事件订阅者将运行操作脚本块，该脚本块将在我的 PowerShell 会话中使用 Write-Host 显示一条消息。

我不希望这种情况经常发生（如果有的话）。这段代码对我来说更像是保险。

创建基于 CIM 的事件订阅可能是一个有用的管理工具。我建议从简单的开始，并确保阅读完整的帮助和示例。

下次我会带着从我的 PowerShell 备份工作中衍生出的一些其他有趣的东西回来。