Requirements
如果使用虛擬機器,請拍攝快照以在此模擬結束時還原。
- 開啟終端機並按照提供的順序執行這些命令。
# Create a testing script to execute echo "Hello World" >> ~/Desktop/jptest.sh # Move the testing script to the periodic utility scheduled directory sudo mv ~/Desktop/jptest.sh /etc/periodic/daily完成測試步驟後,可使用 Jamf Protect Cloud 中標題為 PeriodicScriptAdded 的新警示。 - 開啟並檢閱 PeriodicScriptAdded 警示。分析此警示時最有趣的資料點是:
摘要 > 檔案系統事件詳細資訊 > 路徑:為排程執行所建立的 shell 指令碼的檔案路徑和名稱。
程序 > 程序樹:找到最初的原因。(範例:這是使用者新增的嗎?是在安裝套件的過程中新增此檔案嗎?)
在真實情節中,對這個警示的調查將從檢查此新 shell 指令碼的內容和目的,以及其建立方法開始。
- 如果在完成此測試情節前拍攝了虛擬機器快照,最簡單的清理方法是還原至快照。否則,在終端機中執行這些命令以移除建立的測試檔案。
# Remove the testing script sudo rm /etc/periodic/daily/jptest.sh