Eszközlekérdezés
Az eszköz lekérdezése lehetővé teszi az eszközök állapotával kapcsolatos igény szerinti információk gyors lekérését. Amikor lekérdezést ad meg egy kiválasztott eszközön, az Eszköz lekérdezés valós időben futtat egy lekérdezést. A visszaadott adatok felhasználhatók a biztonsági fenyegetésekre való reagáláshoz, az eszköz hibaelhárításához vagy üzleti döntések meghozatalához.
Előfeltételek
Ahhoz, hogy használni tudja az Eszközlekérdezést a bérlőjében, rendelkeznie kell egy Microsoft Intune Bővített analitikát tartalmazó licenccel. Bővített analitika funkciók az alábbiakkal érhetők el:
- A Intune Bővített analitika bővítmény
- Microsoft Intune Suite
Ha eszközlekérdezéseket szeretne használni egy eszközön, az eszközt regisztrálni kell az Endpoint Analyticsben. Megtudhatja , hogyan regisztrálhat egy eszközt az Endpoint Analyticsben.
Nem tilthatja le a felhőértesítéseket (WNS)
Ahhoz, hogy egy felhasználó eszköz-lekérdezést használjon, hozzá kell rendelnie a Felügyelt eszközök - lekérdezése engedélyt.
Az Eszköz lekérdezés használatához az eszközöket Intune kell felügyelni és vállalati tulajdonban kell lennie.
Támogatott platformok
Az eszköz lekérdezése jelenleg csak az Windows 10 vagy újabb rendszerű eszközökön támogatott.
Eszköz lekérdezésének használata
Az Eszköz lekérdezés használatához lépjen az Eszközök területre, és válassza ki azt az eszközt, amelyen az Eszköz lekérdezést használni szeretné. A Monitorozás szakaszban válassza az Eszköz lekérdezése lehetőséget.
A lekérdezhető támogatott tulajdonságok a Tulajdonságok szakaszban találhatók. Lekérdezés futtatásához adjon meg egy Kusto lekérdezésnyelv (KQL) lekérdezést, majd válassza a Futtatás lehetőséget. Az eredmények az Eredmények lapon jelennek meg.
A Kusto lekérdezésnyelv kapcsolatos további információkért lásd: További információ a Kusto lekérdezésnyelv.
Tipp
A Copilot mostantól Intune (nyilvános előzetes verzió) használatával KQL-lekérdezéseket hozhat létre az eszközlekérdezéshez természetes nyelvi kérések használatával. További információ: Lekérdezés a Copilottal az eszköz lekérdezésében.
Támogatott operátorok
Az eszközlekérdezés csak a Kusto lekérdezésnyelv (KQL) által támogatott operátorok egy részét támogatja. Jelenleg a következő operátorok támogatottak:
Táblaoperátorok
A táblaoperátorok adatstreamek szűrésére, összegzésére és átalakítására használhatók. Jelenleg a következő operátorok támogatottak:
| Táblaoperátorok | Leírás |
|---|---|
| gróf | Egyetlen rekordot tartalmazó táblát ad vissza, amely a rekordok számát tartalmazza |
| különböző | Táblát hoz létre a bemeneti tábla megadott oszlopainak különböző kombinációjával |
| csatlakozik | Két tábla sorainak egyesítése új tábla létrehozásához ugyanazon eszköz egyező sorával |
| order by | A bemeneti tábla sorainak rendezése egy vagy több oszlop szerint |
| projekt | Jelölje ki a belefoglalni, átnevezni vagy elvetni kívánt oszlopokat, és szúrjon be új számított oszlopokat |
| vesz | Visszatérés a megadott számú sorig |
| felső | A megadott oszlopok szerint rendezett első N rekordot adja vissza |
| hol | Tábla szűrése a predikátumnak megfelelő sorok részhalmazára |
Skaláris operátorok
Az alábbi táblázat összefoglalja az operátorokat:
| Piaci szereplők | Leírás | Példa |
|---|---|---|
| == | Egyenlő | 1 == 1, 'aBc' == 'AbC' |
| != | Nem egyenlő | 1 != 2, 'abc' != 'abcd' |
| < | Kevesebb | 1 < 2, 'abc' < 'DEF' |
| > | Nagyobb | 2 > 1, 'xyz' > 'XYZ' |
| <= | Kisebb vagy egyenlő | 1 <= 2, 'abc' <= 'abc' |
| >= | Nagyobb vagy egyenlő | 2 >= 1, 'abc' >= 'ABC' |
| + | Hozzáad | 2 + 1, now() + 1d |
| - | Kivon | 2 - 1, now() - 1h |
| * | Szoroz | 2 * 2 |
| / | Oszt | 2 / 1 |
| % | Modulo | 2 % 1 |
| szeret | A bal oldali (LHS) a jobb oldali (RHS) egyezést tartalmaz | 'abc' like '%B%' |
| Tartalmaz | Az RHS az LHS alkonyataként fordul elő | 'abc' contains 'b' |
| !Tartalmaz | Az RHS nem fordul elő az LHS-ben | 'team' !contains 'i' |
| startswith | Az RHS az LHS kezdeti részhalmaza | 'team' startswith 'tea' |
| !startswith | Az RHS nem az LHS kezdeti részhalmaza | 'abc' !startswith 'bc' |
| vége: | Az RHS az LHS záró részlekérdezése | 'abc' endswith 'bc' |
| !endswith | Az RHS nem az LHS záró részlekérdezése | 'abc' !endswith 'a' |
| és | Igaz, ha és csak akkor, ha az RHS és az LHS igaz | (1 == 1) and (2 == 2) |
| vagy | Igaz, ha és csak akkor, ha RHS vagy LHS igaz | (1 == 1) or (1 == 2) |
Aggregációs függvények
Az összesítő függvények az összegző tábla operátorral használhatók az összegzett értékek kiszámításához. Jelenleg az alábbi összesítési függvények támogatottak:
| Funkció | Leírás |
|---|---|
| átlag() | A csoport értékeinek átlagát adja eredményül. |
| count() | A rekordok összegzési csoportonkénti számát adja eredményül. |
| countif() | Azon sorok számát adja vissza, amelyekhez a Predikátum igaz értéket ad vissza |
| dcount() | A csoport különböző értékeinek számát adja eredményül. |
| max() | A csoporton belüli maximális értéket adja eredményül. |
| maxif() | A 2107-es verziótól kezdve használhatja a maxif függvényt az summarize table operátorral.
A csoport azon maximális értékét adja vissza, amelynek predikátumát kiértékeli. true |
| min() | A csoporton belüli minimális értéket adja eredményül. |
| minif() | A 2107-es verziótól kezdve használhatja a minif-et az summarize table operátorral.
A csoport azon minimális értékét adja vissza, amelynek predikátumát kiértékeli. true |
| percentilis() | Az Expr által meghatározott sokaság megadott legközelebbi ranghoz legközelebbi percentilisének becslését adja eredményül. |
| sum() | A csoport értékeinek összegét adja eredményül. |
| szumha() | A Kif összegét adja vissza, amelynek a Predikátum értéke true (igaz) |
Skaláris függvények
A skaláris függvények kifejezésekben használhatók. Jelenleg a következő skaláris függvények támogatottak:
| Funkció | Leírás |
|---|---|
| ago() | Kivonja a megadott időtartományt az aktuális UTC-időből |
| bin() | Egy adott intervallumméret több datetime többszörösére kerekíti az értékeket |
| case() | Kiértékeli a predikátumok listáját, és visszaadja az első olyan eredménykifejezést, amelynek a predikátuma teljesül |
| datetime_add() | Kiszámít egy új dátum/idő értéket egy megadott dátumrészből egy megadott összeggel szorozva, hozzáadva egy adott dátum/idő értékhez |
| datetime_diff() | Kiszámítja a két dátum időérték közötti különbséget |
| iif() | Kiértékeli az első argumentumot, és a második vagy harmadik argumentum értékét adja vissza attól függően, hogy a predikátum igaz (második) vagy hamis (harmadik) értékre van-e kiértékelve. |
| indexof() | A függvény egy megadott sztring első előfordulásának nulla alapú indexét jelenti a bemeneti sztringben |
| isnotnull() | Kiértékeli az egyetlen argumentumát, és egy logikai értéket ad vissza, amely azt jelzi, hogy az argumentum kiértékelése nem null értékű-e |
| isnull() | Kiértékeli az egyetlen argumentumát, és egy logikai értéket ad vissza, amely azt jelzi, hogy az argumentum null értékű-e |
| now() | Az aktuális UTC időzónát adja eredményül. |
| strcat() | Összefűzés 1 és 64 argumentum között |
| strlen() | A bemeneti sztring hosszát adja vissza karakterekben |
| substring() | Kinyer egy sztringrészletet egy forrássztringből, amely egy indextől a sztring végéig kezdődik |
| tostring() | Bemenet konvertálása sztringre |
Támogatott tulajdonságok
Az eszköz lekérdezése a következő entitásokat támogatja. Az egyes entitások által támogatott tulajdonságokról az Intune Adatplatform-séma című témakörben olvashat bővebben.
BiosInfo
Igazolás
CPU
DiskDrive
EncryptableVolume
FileInfo
LocalGroup
LocalUserAccount
LogicalDrive
MemoryInfo
OsVersion
Folyamat
SystemEnclosure
SystemInfo
Tpm
WindowsAppCrashEvent
WindowsDriver
WindowsEvent
WindowsQfe
WindowsRegistry
WindowsService
Ismert korlátozások
Bármely lekérdezés eredménysztringje legfeljebb 128 kb karakter hosszúságú lehet. Ha a lekérdezés eredménye hosszabb 128 kb-nál, az eredmény csonkul. Egy hibaüzenet tájékoztatja arról, hogy hány sor csonkul.
Percenként csak 15 lekérdezést küldhet. Ha egy lekérdezési korlát túllépte a hibát, várjon egy percet, és próbálkozzon újra.
A lekérdezésbemenetek hossza legfeljebb 2048 karakter lehet. Ha túl hosszú lekérdezési hibát tapasztal, finomítsa a lekérdezést, hogy kevesebb karakterből álljon, majd próbálkozzon újra.
A now() skaláris függvény nem támogatja az eltolási paramétert.
A !like operátor nem támogatott.
A beviteli ablak automatikusan dupla idézőjeleket javasol, ha csak az egyszeres idézőjelek támogatottak a következő operátorokon:
- Tartalmaz
- !Tartalmaz
- startswith
- !startswith
- vége:
A WindowsRegistry entitás nem tudja visszaadni a gyökér beállításkulcsát.
A WindowsRegistry entitás nem ad vissza 64 bites megosztott beállításkulcsokat.
A WindowsRegistry entitás nem tudja visszaadni a bináris ValueData értéket.
Ha olyan eszközöket kérdez le, amelyek Windows 10 futnak, akkor az eszközöknek legalább minőségi verziójúnak kell lenniük.
Ha a Windows 10 21H2-es verzióját futtatja, győződjön meg arról, hogy a 10.0.19044.3393-es verziót futtatja.
Ha a Windows 10 22H2-es verzióját futtatja, győződjön meg arról, hogy a 10.0.19045.3393-es verziót futtatja.
Ha a gépen több hálózati kártya is elérhető, a rendszer csak az első konfigurált tartományt adja vissza.
Ha a TPM 2.0 jelen van az eszközön, akkor az aktivált és engedélyezett állapotot a függvény mindig IGAZ értékként adja vissza.
Ha egy fájl jelenleg használatban van a gépen, akkor a FileInfo lekérdezések hibát ad vissza.
Ha a végfelhasználó rendszergazdai hozzáféréssel rendelkezik az eszközhöz, lehetséges, hogy módosíthatja a lekérdezés eredményei között megjelenő ügyfélalapú információkat. Például az operációs rendszer verziója és a beállításjegyzék.
Következő lépések
További információ: