Um bei macOS-Systemen die gesamten Daten abzurufen, fügen Sie den nachfolgenden Inhalt in /etc/sudoers ein:

_servicenow ALL=NOPASSWD: SETENV: /Library/Caches/servicenow/agent-client-collector/osquery/bin/osqueryi *, /usr/bin/mdls, /usr/bin/log, /bin/kill, /bin/launchctl
Defaults:_servicenow !requiretty

DEX bietet die folgenden Prüfdefinitionen, auf die nur zugegriffen werden kann, wenn die Anwendung ausgeführt wird, mit Ausnahme von os.mac.check-app-version, os.mac.check-app-is-installed und os.mac.check-app- zuletzt aktualisierte Prüfdefinitionen, auf die auch dann zugegriffen werden kann, wenn die Anwendung nicht ausgeführt wird. In den Prüfungsdefinitionsparametern:

• appName = Anwendungsname. Beispiel: Webex.
• appSysId= Sys-ID der Anwendung.
• primaryProcess = Liste des primären Prozesses für die Anwendung, getrennt durch ein Pipeline-Symbol ( | ). Der erste Prozess, der auf dem Endpunktgerät vorhanden ist, erhält Priorität. Beispiel 1: Webex.app. Beispiel 2: Microsoft Teams.app | Microsoft Teams Classic.app.
  Hinweis:

  Wenn der primäre Prozess für die Teams-Anwendung auf einem Endpunktgerät Microsoft Teams.app ist, während er auf einem anderen Endpunktgerät Microsoft Teams classic.app ist, wird bei der Bestimmung der Priorität basierend auf der Prozessverfügbarkeit auf dem Endpunktgerät die Der Prozess, der zuerst auf dem Endpunktgerät vorhanden ist, erhält Vorrang.
• primaryProcesses = Liste der sekundären Prozesse für die Anwendung, getrennt durch ein Pipeline-Symbol ( | ). Beispiel: Cisco WebEx Start.app | webexmtaV2.app

Definitionsnamen überprüfen	Überprüfen Sie die Definitionsparameter	Beschreibung
os.mac.check-app-cpu-usage	--appName=<application name> --primaryProcess=<primary process name> --secondaryProcesses=<list of secondary processes separated by a pipe symbol> --appSysId=<sys id of the application>	Überprüft die Menge der von der Anwendung verwendeten CPU-Ressourcen.
os.mac.check-app-memory-usage	--appName=<application name> --primaryProcess=<primary process name> --secondaryProcesses=<list of secondary processes separated by a pipe symbol> --appSysId=<sys id of the application>	Überprüft die Menge der von der Anwendung verwendeten Arbeitsspeicherressourcen.
os.mac.check-app-listening-ports	--appName=<application name> --primaryProcess=<primary process name> --secondaryProcesses=<list of secondary processes separated by a pipe symbol> --appSysId=<sys id of the application>	Ruft die offenen Portnummern ab, über die eingehender Netzwerkdatenverkehr die Anwendung erreichen kann.
os.mac.check-app-last-updated	--appName=<application name> --primaryProcess=<primary process name> --secondaryProcesses=<list of secondary processes separated by a pipe symbol> --appSysId=<sys id of the application>	Überprüft die Uhrzeit und das Datum der letzten Installation des Anwendungsupdates. Hinweis: Für diese Prüfungsdefinition muss die Anwendung nicht ausgeführt werden.
os.mac.check-app-version	--appName=<application name> --primaryProcess=<primary process name> --secondaryProcesses=<list of secondary processes separated by a pipe symbol> --appSysId=<sys id of the application>	Ruft die Versionsnummer der Anwendung ab. Hinweis: Für diese Prüfungsdefinition muss die Anwendung nicht ausgeführt werden. Wenn eine Anwendung keine Version hat, gibt die Prüfungsdefinition die Zeichenfolge „unversioned“ für diese Anwendung zurück.
os.mac.check-app-is-installed	--appName=<application name> --primaryProcess=<primary process name> --secondaryProcesses=<list of secondary processes separated by a pipe symbol> --appSysId=<sys id of the application>	Überprüft, ob die Anwendung auf dem Gerät installiert ist oder nicht. Hinweis: Für diese Prüfungsdefinition muss die Anwendung nicht ausgeführt werden.
os.mac.check-app-is-running	--appName=<application name> --primaryProcess=<primary process name> --secondaryProcesses=<list of secondary processes separated by a pipe symbol> --appSysId=<sys id of the application>	Überprüft, ob die Anwendung derzeit ausgeführt wird oder nicht.
os.mac.check-app-uptime	--appName=<application name> --primaryProcess=<primary process name> --secondaryProcesses=<list of secondary processes separated by a pipe symbol> --appSysId=<sys id of the application>	Überprüft die Betriebszeit der angegebenen Anwendung.
os.mac.check-app-last-access-time	--appName=<application name> --primaryProcess=<primary process name> --secondaryProcesses=<list of secondary processes separated by a pipe symbol> --appSysId=<sys id of the application>	Prüft den letzten Zeitpunkt, zu dem die Anwendung ausgeführt wurde. Hinweis: Für diese Prüfungsdefinition muss die Anwendung nicht ausgeführt werden. Wenn die Anwendung vom Anwender in den letzten 7 Tagen nicht ausgeführt wurde, ist die Zeit des letzten Zugriffs leer.
os.mac.check-app-io-usage-read	--appName=<application name> --primaryProcess=<primary process name> --secondaryProcesses=<list of secondary processes separated by a pipe symbol> --appSysId=<sys id of the application>	Überprüft die Verwendung von Lese-E/A-Vorgängen (Eingabe/Ausgabe) durch die Anwendung.
os.mac.check-app-io-usage-write	--appName=<application name> --primaryProcess=<primary process name> --secondaryProcesses=<list of secondary processes separated by a pipe symbol> --appSysId=<sys id of the application>	Überprüft die Verwendung von E/A-Schreibvorgängen (Eingabe/Ausgabe) durch die Anwendung.

DEX stellt die folgenden Arten von Prüfungsdefinitionen für das Gerät bereit.

Definitionsnamen überprüfen	Beschreibung
os.mac.check-system-cpu-usage	Überprüft die CPU-Auslastung
os.mac.check-system-cpu-details	Ruft den CPU-Namen, die Anzahl der physischen und logischen Kerne und die Architekturinformationen ab.
os.mac.check-system-memory-usage	Überprüft die Auslastung des Systemarbeitsspeichers.
os.mac.check-system-uptime	Überprüft die seit dem letzten Start des Systems verstrichene Zeit.
os.mac.check-system-time	Überprüft die aktuelle Zeit in Coordinated Universal Time (UTC) anhand des Unix-Zeitstempels.
os.mac.check-system-device-details	Ruft Typ, Modell und Seriennummer des Chassis ab.
os.mac.check-system-disk-details	Ruft Datenträgerdetails ab, z. B. Gesamtspeicher, verwendeter Speicherplatz und freier Speicherplatz in Byte.
os.mac.check-system-disk-io-usage-read	Ruft pro Sekunde gelesene Bytes des Datenträgers ab.
os.mac.check-system-disk-io-usage-write	Ruft pro Sekunde geschriebene Bytes des Datenträgers ab.
os.mac.check-system-disk-usage	Ruft den verwendeten Speicherplatz des Datenträgers als Prozentsatz des Gesamtspeicherplatzes ab.
os.mac.check-system-os-details	Ruft Name, Version, Plattform, Architektur und Installationsdatum des Betriebssystems ab.
os.mac.check-system-net-bytes-incoming	Ruft die eingehenden Netzwerk-Byte pro Sekunde auf allen Netzwerkgeräten ab.
os.mac.check-system-net-bytes-outgoing	Ruft die ausgehenden Netzwerk-Byte pro Sekunde auf allen Netzwerkgeräten ab.
os.mac.check-system-logged-in-users	Ruft die Details der aktuell beim Gerät angemeldeten Anwender ab.
os.mac.check-system-session-time	Ruft die Sitzungszeit der aktuell angemeldeten Anwender in Minuten ab.
os.mac.check-system-network-details	Ruft die Netzwerkdetails ab, einschließlich Ethernet, WLAN und andere relevante Informationen.
os.mac.check-system-battery-details	Ruft akkubezogene Daten ab, einschließlich des verbleibenden Akkuprozentsatzes, der vorgesehenen Spannung, der geschätzten Laufzeit und der maximalen Kapazität des Akkus. Hinweis: Diese Prüfungsdefinition kann nicht auf einen virtuellen Computer angewendet werden.
os.mac.check-system-firewall-enabled	Überprüft, ob die Firewall des Betriebssystems aktiv und aktiviert ist.
os.mac.check-system-pending-updates	Überprüft den Status ausstehender Software-Updates.
os.mac.check-system-admin-users	Ruft alle Anwenderaccounts mit lokalen Administratorrechten ab.

DEX bietet die folgenden Arten von Prüfungsdefinitionen für Diagnoseaktionen.

Definitionsnamen überprüfen	Überprüfen Sie die Definitionsparameter	Beschreibung
os.mac.check-app-process-ids	--pid=<process name>	Ruft die Prozess-IDs (PIDs) sowohl des übergeordneten als auch aller untergeordneten Prozesse ab, die der Anwendung zugeordnet sind.
os.mac.check-process-cpu	N/V	Ruft eine Liste aller laufenden Prozesse mit Prozentsatz der CPU-Auslastung, CPU-Zeit, Prozess-ID (PID), ID des übergeordneten Prozesses (PPID) und Namen ab.
os.mac.check-process-memory	N/V	Ruft eine Liste aller laufenden Prozesse mit deren Arbeitsspeichernutzung in Kilobyte (KB), Prozess-ID (PID), ID des übergeordneten Prozesses (PPID) und Namen ab.
os.mac.check-process-data	N/V	Ruft die CPU-Auslastung, Arbeitsspeichernutzung und Datenträgernutzung aller aktuell ausgeführten Prozesse ab.
os.mac.check-process-disk	N/V	Ruft eine Liste aller laufenden Prozesse mit Datenträgernutzung in Byte, Prozess-ID (PID), ID des übergeordneten Prozesses (PPID) und Name ab.
os.mac.check-traceroute	--traceroute=<url> --max_hops =<default value is 65> --timeout =<default value is 5>	Ruft die IP-Adresse, den Domänennamen und die Rundlaufzeit (RTT) für jeden Netzwerk-Hop ab.
os.mac.check-ping-test	--ping =<URL>	Sendet eine Ping-Anforderung an die angegebene URL und gibt den Konnektivitätsstatus zurück, der angibt, ob die URL derzeit erreichbar ist oder nicht.

DEX stellt die folgenden Arten von Prüfungsdefinitionen für Nachbesserungsaktionen bereit.

Definitionsnamen überprüfen	Überprüfen Sie die Definitionsparameter	Beschreibung
os.mac.action-kill-process	--pid=<process id> ODER --app_name=<executable file name> Hinweis: Die Prozess-ID hat Priorität gegenüber dem Anwendungsnamen.	Beendet einen laufenden Prozess oder mehrere Prozesse, die durch ihre Prozess-ID (PID) oder den Namen der ausführbaren Datei (.app) angegeben werden.
os.mac.action-restart-service	--service_name =<service name>	Startet protokollierte Benutzerservices neu, die einen Servicenamen als Eingabe für das System verwenden.