DEX-Prüfungsdefinitionen für Windows

Xanadu IT Service Management

Release

xanadu

ft:locale

de-DE

ft:publication_title

Xanadu IT Service Management

ft:clusterId

itsm

bundleId

itsm

workflow

Technology

DEX-Prüfungsdefinitionen für Windows

Freigeben Version: Xanadu

Aktualisiert 1. August 2024

6 Minuten Lesedauer

Prüfungsdefinitionen für Windows sind vorgegebene Sätze von Regeln und Kriterien zur Bewertung der Leistung, Sicherheit und Konformität von Windows-Geräten. Diese Prüfungen können verschiedene Aspekte abdecken, zum Beispiel CPU-Auslastung, Speichernutzung, Netzwerktests, Netzwerkbytes und angemeldete Anwender.

Um die vollständigen Playbook-Daten für ein Windows-Gerät abzurufen, muss Agent Client Collector (ACC) als lokales Systemkonto ausgeführt werden. Weitere Informationen zum Einrichten des ACC-Service als lokales Systemkonto finden Sie unter Agent Client Collector als lokales Systemkonto ausführen.

Hinweis:

Sie können die Prüfungsdefinitionen und die zugehörigen abrufbaren Daten konfigurieren. Einige der aufgeführten Prüfungsdefinitionen rufen möglicherweise Daten ab, die personenbezogene Daten enthalten oder als solche gelten.

Prüfungsdefinitionen – Anwendung (Metriken)

DEX stellt die folgenden Prüfungsdefinitionen bereit, auf die nur zugegriffen werden kann, wenn die Anwendung ausgeführt wird. Ausnahmen sind os.win.check-app-crash-rate und os.win.check-app-last-access-time. Auf diese Prüfungsdefinitionen kann auch dann zugegriffen werden, wenn die Anwendung nicht ausgeführt wird. In den Parametern der Prüfungsdefinition:

appName = Anwendungsname. Beispiel: Zoom.
appSysId = Sys-ID der Anwendung.
primaryProcess = Auflistung der primären Prozesse für die Anwendung mit dem Pipeline-Symbol ( | ) als Trennzeichen. Der erste Prozess, der auf dem Endpunktgerät vorhanden ist, erhält Priorität. Beispiel 1: chrome.exe. Beispiel 2: teams.exe|msteams.exe.
Hinweis:
Wenn der primäre Prozess für die Anwendung Teams in Windows 10 teams.exe ist, während er in Windows 11 msteams.exe ist, erhält bei der Bestimmung der Priorität anhand der Prozessverfügbarkeit der Prozess Vorrang, der zuerst auf dem Endpunktgerät vorhanden ist.
secondaryProcesses = Auflistung der sekundären Prozesse für die Anwendung mit dem Pipeline-Symbol ( | ) als Trennzeichen. Beispiel: cpthost.exe|cptservice.exe.


Name der Prüfungsdefinition	Parameter der Prüfungsdefinition	Beschreibung
os.win.check-app-cpu-usage	--appName=<Anwendungsname> --primaryProcess=<Name des primären Prozesses> --secondaryProcesses=<Auflistung der sekundären Prozesse für die Anwendung mit dem Pipeline-Symbol als Trennzeichen> --appSysId=<Sys-ID der Anwendung>	Prüft die Menge der von der Anwendung beanspruchten CPU-Ressourcen.
os.win.check-app-memory-usage	--appName=<Anwendungsname> --primaryProcess=<Name des primären Prozesses> --secondaryProcesses=<Auflistung der sekundären Prozesse für die Anwendung mit dem Pipeline-Symbol als Trennzeichen> --appSysId=<Sys-ID der Anwendung>	Prüft die Menge des von der Anwendung beanspruchten Arbeitsspeicherplatzes.
os.win.check-app-last-access-time	--appName=<Anwendungsname> --primaryProcess=<Name des primären Prozesses> --secondaryProcesses=<Auflistung der sekundären Prozesse für die Anwendung mit dem Pipeline-Symbol als Trennzeichen> --appSysId=<Sys-ID der Anwendung>	Prüft, wann die Anwendung zuletzt ausgeführt wurde. Hinweis: Für diese Prüfungsdefinition muss die Anwendung nicht ausgeführt werden. Wenn die Anwendung in den letzten 7 Tagen nicht ausgeführt wurde, ist die letzte Zugriffszeit leer. Wenn sich der Prozesspfad der Anwendung innerhalb von 7 Tagen ändert (zum Beispiel durch ein App-Update), ist „Letzte Zugriffszeit“ leer, bis Sie die Anwendung erneut starten. Sie können die Richtlinie zur 7-tägigen Aufbewahrungsrichtlinie ändern, indem Sie den Registrierungspfad wie folgt modifizieren: Registrierungsschlüssel: „HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\BAM“ Registrierungsname: „UserSettingsLifetimeMs“ Registrierungstyp: REG_DWORD (32-Bit-Wert) Registrierungswert: Dauer in Millisekunden
os.win.check-app-last-updated	--appName=<Anwendungsname> --primaryProcess=<Name des primären Prozesses> --secondaryProcesses=<Auflistung der sekundären Prozesse für die Anwendung mit dem Pipeline-Symbol als Trennzeichen> --appSysId=<Sys-ID der Anwendung>	Prüft Uhrzeit und Datum der letzten Installation eines Anwendungs-Updates.
os.win.check-app-crash-rate	--appName=<Anwendungsname> --primaryProcess=<Name des primären Prozesses> --secondaryProcesses=<Auflistung der sekundären Prozesse für die Anwendung mit dem Pipeline-Symbol als Trennzeichen> --appSysId=<Sys-ID der Anwendung>	Ruft die Absturzrate der Anwendung ab. Diese Prüfungsdefinition unterstützt: Anwendungen, die beim Absturz ein App-Absturz-Ereignisfenster anzeigen (Ereignis-ID = 1000), z. B. Microsoft OneDrive, Microsoft Teams, Microsoft Excel, Microsoft OneNote, Microsoft PowerPoint, Microsoft Outlook und Microsoft Word. Die Anwendung Zoom. Hinweis: Für diese Prüfungsdefinition muss die Anwendung nicht ausgeführt werden.
os.win.check-app-uptime	--appName=<Anwendungsname> --primaryProcess=<Name des primären Prozesses> --secondaryProcesses=<Auflistung der sekundären Prozesse für die Anwendung mit dem Pipeline-Symbol als Trennzeichen> --appSysId=<Sys-ID der Anwendung>	Prüft die Betriebszeit der betreffenden Anwendung.

Prüfungsdefinitionen – Gerät (Metriken)

DEX stellt die folgenden Arten von Prüfungsdefinitionen für das Gerät bereit.


Name der Prüfungsdefinition	Beschreibung
os.win.check-system-cpu-usage	Prüft die aktuelle CPU-Auslastung.
os.win.check-system-cpu-details	Ruft die CPU-ID, den CPU-Namen, die Anzahl der physischen und logischen Kerne sowie Informationen zur Architektur ab.
os.win.check-system-memory-usage	Prüft die aktuelle Auslastung des Systemarbeitsspeichers.
os.win.check-system-last-access-time	Prüft, wann das letzte Mal auf das aktuelle Gerät zugegriffen wurde. Hinweis: Diese Prüfungsdefinition funktioniert auf gesperrten und entsperrten Geräten. Bei der erstmaligen Ausführung dieser Prüfungsdefinition werden die Ereignisse erfasst. Eine Fehlermeldung wird ausgegeben, weil keine Daten vorhanden sind.
os.win.check-system-uptime	Prüft die seit dem letzten Systemstart verstrichene Zeit.
os.win.check-system-disk-io-usage-read	Ruft die Anzahl der pro Sekunde gelesenen Datenträger-Bytes ab.
os.win.check-system-disk-io-usage-write	Ruft die Anzahl der pro Sekunde geschriebenen Datenträger-Bytes ab.
os.win.check-system-energy-consumption	Ruft für ein Windows-Gerät die Energieverbrauchswerte für CPU, SoC, Display, Datenträger, Netzwerk, MBB, EMI, sonstiges, insgesamt und Verlust in Milliwattstunden ab. Hinweis: Diese Prüfungsdefinition ist nicht mit virtuellen Computern kompatibel, die keine Energiesensoren besitzen. Im Gegensatz zu anderen Prüfungsdefinitionen, die die neuesten Daten abrufen, ruft diese Prüfungsdefinition die Summe der Daten der letzten 5 Minuten ab.
os.win.check-system-time	Prüft die aktuelle Uhrzeit in Coordinated Universal Time (UTC) anhand des UNIX-Zeitstempels.
os.win.check-system-power-plan	Ruft den Namen des aktiven Energiesparplans ab.
os.win.check-system-os-details	Ruft Name, Version, Plattform, Architektur und Installationsdatum des Betriebssystems ab.
os.win.check-system-device-crashes	Ruft Detailinformationen über verschiedene Abstürze auf Ihrem Gerät ab.
os.win.check-system-device-events	Ruft die Details von Ereignissen ab, die in dem angegebenen Zeitintervall auf dem Gerät aufgetreten sind. Zu den Ereignissen für Windows gehören: letzter Start und Anwender angemeldet.
os.win.check-system-disk-usage	Ruft den vom Datenträger beanspruchten Speicherplatz als Prozentsatz des Gesamtspeicherplatzes ab.
os.win.check-system-battery-details	Ruft Informationen zum Akku ab, zum Beispiel den verbleibenden Akkuprozentsatz, die ausgelegte Spannung, die geschätzte Laufzeit und die maximale Kapazität des Akkus. Hinweis: Diese Prüfungsdefinition gilt nicht für virtuelle Computer (VMs) oder Desktops, da diese keine Akkus haben.
os.win.check-system-network-details	Ruft Detailinformationen zum Netzwerk ab, zum Beispiel Ethernet, WLAN und andere relevante Angaben.
os.win.check-system-logged-in-users	Prüft die Anwender-ID der derzeit beim Gerät angemeldeten Anwender.
os.win.check-system-power-consumption	Ruft den Stromverbrauch des Geräts in Milliwatt ab. Hinweis: Diese Prüfungsdefinition ist nur mit physischen Computern kompatibel und unterstützt keine virtuellen Computer (VMs).
os.win.check-system-admin-users	Ruft alle Benutzeraccounts mit lokalen Administratorrechten ab.
os.win.check-system-bsod	Ruft die Häufigkeit, Meldung, ID, Ebene und Uhrzeit von BSOD-Ereignissen (Blue Screen of Death) ab. Hinweis: Diese Prüfungsdefinition unterstützt Vorkommen von BSOD, bei denen Systemereignisse mit Ereignis-IDs = 41,1001,6008 ausgegeben werden.
os.win.check-system-firewall-enabled	Prüft, ob die Firewall des Betriebssystems aktiv ist.
os.win.check-system-antimalware-details	Ruft Detailinformationen zur Antimalware-Software des Geräts ab.
os.win.check-system-reboot-details	Ruft die Neustartdauer in Sekunden und den Zeitstempel des letzten Neustarts (in UNIX-Epoch-Zeit) ab. Hinweis: Wenn Systemneustarts unterbrochen wurden, z. B. aufgrund von Systemaktualisierungen, Stromausfällen oder manuellen Eingriffen, können die angezeigten Werte fehlerhaft sein.
os.win.check-system-os-setup-details	Ruft das ungefähre Alter des Betriebssystems für das Gerät ab.

Prüfungsdefinitionen – Diagnoseaktionen

DEX stellt die folgenden Arten von Prüfungsdefinitionen für Diagnoseaktionen bereit.


Name der Prüfungsdefinition	Parameter der Prüfungsdefinition	Beschreibung
Diagnoseaktion
os.win.check-app-process-ids	--process_name=<Prozessname>	Ruft die Prozess-IDs (PIDs) der übergeordneten und aller untergeordneten Prozesse ab, die der Anwendung zugeordnet sind.
os.win.check-process-cpu	N/V	Ruft eine Liste aller laufenden Prozesse mit Prozentsatz der CPU-Auslastung, CPU-Zeit, Prozess-ID (PID), ID des übergeordneten Prozesses (Parent Process ID, PPID) und Namen ab.
os.win.check-process-memory	N/V	Ruft eine Liste aller laufenden Prozesse mit Arbeitsspeichernutzung in Kilobyte (KB), Prozess-ID (PID), ID des übergeordneten Prozesses (PPID) und Namen ab.
os.win.check-process-disk	N/V	Ruft eine Liste aller laufenden Prozesse mit Datenträgernutzung in Byte, Prozess-ID (PID), ID des übergeordneten Prozesses (PPID) und Namen ab.
os.win.check-rssi-value	N/V	Ruft den Wert für die Stärke des Empfangssignals (Received Signal Strength Indicator, RSSI) für die aktuell verbundene WLAN-Schnittstelle ab. RSSI gibt die Stärke des Signals zwischen dem WLAN-Zugriffspunkt (Access Point, AP) und dem Gerät an, wobei höhere RSSI-Werte einem stärkeren Signal entsprechen. Hinweis: Diese Prüfungsdefinition kann nicht auf einen virtuellen Computer angewendet werden.

Prüfungsdefinitionen – Korrekturaktionen

DEX stellt die folgenden Arten von Prüfungsdefinitionen für Korrekturaktionen bereit.


Name der Prüfungsdefinition	Parameter der Prüfungsdefinition	Beschreibung
os.win.action-kill-process	--pid=<Prozess-ID> ODER --process_name=<kommagetrennte Liste der Namen ausführbarer Dateien> Hinweis: Die Prozess-ID hat Priorität gegenüber dem Anwendungsnamen.	Beendet einen laufenden Prozess oder mehrere Prozesse, die durch ihre Prozess-ID (PID) oder eine Auflistung der Namen von ausführbaren Dateien (.exe) angegeben werden.
os.win.action-restart-service	--service_name=<Servicename>	Startet protokollierte Benutzerservices neu, die einen Servicenamen als Systemeingabe annehmen.
os.win.action-flush-dns-cache	N/V	Leert den DNS-Cache auf einem Windows-Gerät.
os.win.action-clear-browser-cache	--auto_close = <true/false> Hinweis: Wenn das automatische Schließen aktiviert ist, wird beim Löschen des Browsercaches der Browser geschlossen und umgekehrt. --browsers=<kommagetrennte Liste der Browser>	Löscht den Cache von unterstützten Browsern wie Google Chrome, Mozilla Firefox und Microsoft Edge. Hinweis: Vor Ausführung dieser Prüfungsdefinition sollten Sie die Arbeit in Ihrem Browser speichern.