Ruft laufende Prozesse über die WMI-Aktivität ab

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 1 Minute Lesedauer

    • Die Workflow-Aktivität „Laufende Prozesse abrufen“ ruft die laufenden Prozesse eines Konfigurationselements auf einem Windows-basierten System ab. Diese Aktivität kann den Untersuchungs- und Korrekturprozess beschleunigen.

    Die Aktivität „ Laufende Prozesse über WMI abrufen“ kann mit jedem Workflow verwendet werden, um laufende Prozesse auf einem Windows-basierten System abzurufen.

    Eingabevariablen

    Eingabevariablen bestimmen das anfängliche Verhalten der Aktivität.

    Tabelle : 1. Eingabevariablen
    Variable Beschreibung
    Ziel [Zeichenfolge] Vollständig qualifizierter Domänenname (FQDN) oder IP-Adresse des Zielsystems.

    Ausgabevariablen

    Die Ausgabevariablen enthalten Daten, die in nachfolgenden Aktivitäten verwendet werden können.

    Tabelle : 2. Ausgabevariablen
    Variable Beschreibung
    Antwort [Zeichenfolge]

    Eine JSON-Zeichenfolge, die die aktuell ausgeführten Prozesse auf dem Zielsystem darstellt.

    JSON-Daten umfassen:

    pid
    Der Prozessbezeichner
    Name
    Der Name des Prozesses

    Außerdem, falls verfügbar:

    Verantwortlicher
    Der Name des Prozessverantwortlichen
    owner_sid
    Der Systembezeichner des Prozessverantwortlichen
    owner_domain
    Die Domäne des Prozessverantwortlichen
    path
    Der Dateipfad der ausführbaren Prozessdatei
    hash
    Der Hashwert der ausführbaren Prozessdatei. Der Hash liegt in SHA-256 für PowerShell V4 oder höher vor. Andernfalls befindet sich der Hash in MD5.

    Beschränkungen

    Der MID Server muss PowerShellunterstützen.

    SHA-256-Hash erfordert PowerShell V4.