Bérlői csatolás: CMPivot-mintaszkriptek
A következőre vonatkozik: Configuration Manager (aktuális ág)
CMPivot-lekérdezések futtatása Microsoft Intune Felügyeleti központból. Az alábbiakban bemutatunk néhány gyakori lekérdezési igényt, és hogy a CMPivot hogyan használható ezek kielégítésére. A CMPivot a Kusto lekérdezésnyelv (KQL) egy részhalmazát használja.
Az alábbiakban bemutatunk néhány gyakori lekérdezési igényt, és hogy a CMPivot hogyan használható ezek kielégítésére. A CMPivot a Kusto lekérdezésnyelv (KQL) egy részhalmazát használja.
Operációs rendszer
Lekéri az operációs rendszer adatait.
// Sample query for OS information
OperatingSystem
Legutóbb használt alkalmazások
A következő lekérdezés a legutóbb használt alkalmazásokat (az elmúlt 2 órában) kapja meg:
CCMRecentlyUsedApplications
| where (LastUsedTime > ago(2h))
| project CompanyName, ProductName, ProductVersion, LastUsedTime
Eszköz indítási időpontjai
Az alábbi lekérdezés bemutatja, mikor indultak el az eszközök az elmúlt hét napban:
OperatingSystem
| where LastBootUpTime <= ago(7d)
| summarize count() by bin(LastBootUpTime,1d)
Szabad lemezterület
A következő lekérdezés a szabad lemezterületet mutatja be:
LogicalDisk
| project Device, DeviceID, Name, Description, FileSystem, Size, FreeSpace
| order by DeviceID asc
Eszközadatok
Eszköz, gyártó, modell és OSVersion megjelenítése:
ComputerSystem
| project Device, Manufacturer, Model
| join (OperatingSystem | project Device, OSVersion=Caption)
Eszköz rendszerindítási ideje
Eszközök rendszerindítási idejének megjelenítése:
SystemBootData
| project Device, SystemStartTime, BootDuration, OSStart=EventLogStart, GPDuration, UpdateDuration
| order by SystemStartTime desc
Hitelesítési hibák
Keressen hitelesítési hibákat az eseménynaplókban.
EventLog('Security')
| where EventID == 4673
ProcessModule(<folyamatnév>)
Az adott folyamat által betöltött összes modul (dll) számbavétele. A ProcessModule akkor hasznos, ha megbízható folyamatokban elrejtődő kártevőket keres.
ProcessModule('powershell')
| summarize count() by ModuleName
| order by count_ desc
Kártevőirtó szoftver állapota
Lekéri a parancsmag által Get-MpComputerStatus összegyűjtött számítógépre telepített kártevőirtó szoftverek állapotát. Az entitás Windows 10 és Server 2016 vagy újabb rendszeren támogatott, és a Defender fut. |
EPStatus
| project Device, QuickScanAge=datetime_diff('day',now(),QuickScanEndTime)
| summarize DeviceCount=count() by QuickScanAge
Keresse meg a BIOS gyártót, amely bármilyen szót tartalmaz, például a Micro
Bios
// Find BIOS Manufacturer that contains any word like Micro, such as Microsoft
| where Manufacturer like '%Micro%'
Fájl megkeresése kivonat alapján
Fájl keresése kivonat alapján.
Device
| join kind=leftouter ( File('%windir%\\system32\\*.exe')
| where SHA256Hash == 'A92056D772260B39A876D01552496B2F8B4610A0B1E084952FE1176784E2CE77')
| project Device, MalwareFound = iif( isnull(FileName), 'No', 'Yes')
Szkriptek keresése a CCM-naplókban az elmúlt órában
A következő lekérdezés az elmúlt 1 óra eseményeit vizsgálja:
CcmLog('Scripts',1h)
Információk keresése a beállításjegyzékben
Keressen rá a beállításjegyzék adataira.
// Change the path to match your desired registry hive query
// The RegistryKey entity (added in version 2107) isn't supported with CMPivot for tenant attached devices.
Registry('hklm:\SOFTWARE\Microsoft\EnterpriseCertificates\Root\Certificates\*')
RegistryKey('hklm:\SOFTWARE\Microsoft\EnterpriseCertificates\Root\Certificates\*')
RegistryKey('hklm:\SOFTWARE\Microsoft\SMS\*')
Registry('hklm:\SOFTWARE\Microsoft\SMS\*')
Következő lépések
További információ: A CMPivot indítása a felügyeleti központból További információ a lekérdezések entitásairól: Microsoft Intune bérlő csatolása: CMPivot-használat áttekintése.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: