Anexação de locatário: visão geral de uso do CMPivot
Aplica-se a: Configuration Manager (ramificação atual)
O CMPivot permite avaliar rapidamente o estado de um dispositivo em seu ambiente e tomar medidas. Quando você inserir uma consulta, o CMPivot executará uma consulta em tempo real no dispositivo atualmente conectado. Os dados retornados podem ser filtrados, agrupados e refinados para responder perguntas comerciais, resolver problemas em seu ambiente ou responder a ameaças à segurança. Para obter mais informações sobre como usar o CMPivot, confira Usar o CMPivot.
Refinar consultas do CMPivot
Ao usar o CMPivot do console de administração do Microsoft Endpoint Manager, verifique se as consultas estão ajustadas para obter desempenho. Se você solicitar uma consulta com um conjunto de dados muito grande, poderá obter Error: The query result is too large, retry with additional filters. Caso veja esse erro, refine sua consulta para ela ser mais específica. Os seguintes operadores são os usados geralmente para refinar consultas:
- Use
countse precisar apenas do número de itens retornados. - Use
projectse precisar apenas de colunas específicas. - Use
takepara retornar até o número especificado de linhas. - Use
toppara retornar os primeiros N registros classificados pelas colunas especificadas.
Importante
Ao usar o CMPivot para consultar um dispositivo, a consulta expirará se não houver uma resposta dentro de 10 minutos.
Consultas
As consultas podem ser usadas para pesquisar termos, identificar tendências, analisar padrões e fornecer muitos outros insights com base em seus dados. O CMPivot usa um subconjunto do modelo de fluxo de dados do Azure Log Analytics para a instrução de expressão tabular. A estrutura típica de uma instrução de expressão tabular é uma composição de entidades cliente e operadores de dados tabulares (como filtros e projeções). A composição é representada pelo caractere pipe (|), dando à instrução um formulário regular que representa visualmente o fluxo de dados tabulares da esquerda para a direita. Cada operador aceita um conjunto de dados tabular "do pipe" e entradas adicionais (incluindo outros conjuntos de dados tabulares) do corpo do operador e emite um conjunto de dados tabular para o próximo operador a seguir: entity | operator1 | operator2 | ...
No exemplo a seguir, a entidade é CCMRecentlyUsedApplications (uma referência aos aplicativos usados recentemente) e o operador é onde (que filtra registros de sua entrada de acordo com algum predicado por registro):
CCMRecentlyUsedApplications | where CompanyName like '%Microsoft%' | project CompanyName, ExplorerFileName, LastUsedTime, LaunchCount, FolderPath
Entidades
Entidades são objetos que podem ser consultados do cliente. Atualmente, oferecemos suporte às seguintes entidades:
| Entidade | Descrição |
|---|---|
| AadStatus | Status do Azure Active Directory |
| Administradores | Membros do grupo de administradores locais |
| AppCrash | Relatórios recentes de falha de aplicativo |
| AppVClientApplication | Aplicativo Cliente AppV |
| AppVClientPackage | Pacote Cliente AppV |
| AutoStartSoftware | Software que começa automaticamente com ou imediatamente após o sistema operacional |
| Baseboard | Baseboard |
| Bateria | Bateria |
| Bios | Informações do BIOS do sistema |
| BitLocker | BitLocker |
| BitLockerEncryptionDetails | Detalhes da criptografia do BitLocker |
| BitLockerPolicy | Política BitLocker |
| BootConfiguration | Configuração de inicialização |
| BrowserHelperObject | Objeto Auxiliar do Navegador |
| BrowserUsage | Uso do navegador |
| CcmLog() | Linhas dentro de 24 horas (por padrão) de um arquivo de log ccm |
| CCMRAX | CCM_RAX |
| CCMRecentlyUsedApplications | Aplicativos usados recentemente |
| CCMWebAppInstallInfo | Aplicativos Web |
| CDROM | Unidade CDROM |
| ClientEvents | Eventos do cliente |
| ComputerSystem | Sistema de Computador |
| ComputerSystemEx | Computador System Ex |
| ComputerSystemProduct | Produto do Sistema de Computador |
| ConnectedDevice | Dispositivo conectado |
| Connection | Uma conexão Tcp ativa dentro ou fora do dispositivo |
| Desktop | Desktop |
| DesktopMonitor | Monitor da Área de Trabalho |
| Device | Informações básicas sobre o dispositivo |
| Disco | Informações do dispositivo de armazenamento local em um sistema de computador que executa o Windows |
| Dma | Dma |
| DMAChannel | Canal DMA |
| DriverVxD | Driver – VxD |
| EmbeddedDeviceInformation | Informações do dispositivo inserido |
| Ambiente | Ambiente |
| EPStatus | Status do software antimalware no computador coletado pelo Get-MpComputerStatus cmdlet. Com suporte no Windows 10 e no Server 2016 ou posterior com o defender em execução. |
| EventLog() | Eventos dentro de 24 horas (por padrão) de um log de eventos |
| Arquivo() | Informações sobre um arquivo específico |
| Fileshare | Informações de compartilhamento de arquivos ativos |
| Firmware | Firmware |
| IDEController | Controlador IDE |
| InstalledExecutable | Executável instalado |
| InstaladoSoftware | Um aplicativo instalado no dispositivo |
| IPConfig | Obtém a configuração de rede, incluindo interfaces utilizáveis, endereços IP e servidores DNS |
| IRQTable | Tabela IRQ |
| Teclado | Teclado |
| LoadOrderGroup | Grupo de pedidos de carga |
| Logicaldisk | Disco Lógico |
| MDMDevDetail | Informações do dispositivo |
| Memória | Memória |
| Modem | Modem |
| Mãe | Mãe |
| NetworkAdapter | Adaptador de rede |
| NetworkAdapterConfiguration | Configuração do Adaptador de Rede |
| NetworkClient | Cliente de Rede |
| NetworkLoginProfile | Perfil de Logon de Rede |
| NTEventlogFile | Arquivo de eventlog do NT |
| Office365ProPlusConfigurations | Office 365 Configurações de Aplicativos |
| OfficeAddin | Suplementos do Office |
| OfficeClientMetric | Métrica do Cliente do Office |
| OfficeDeviceSummary | Resumo do dispositivo do Office |
| OfficeDocumentMetric | Métricas de documento do Office |
| OfficeDocumentSolution | Solução de Documento do Office |
| OfficeMacroError | Erro de Macro do Office |
| OfficeProductInfo | Informações do Produto do Office |
| OfficeVbaRuleViolation | Violação de regra do Office Vba |
| OfficeVbaSummary | Resumo da verificação de VBA do Office |
| OperatingSystem | Sistema operacional |
| OperatingSystemEx | Sistema Operacional Ex |
| OperatingSystemRecoveryConfiguration | Configuração de recuperação do sistema operacional |
| OptionalFeature | Recurso opcional |
| SO | Informações básicas sobre o sistema operacional |
| PageFileSetting | Configuração de arquivo de página |
| Parallelport | Porta Paralela |
| Partition | Partições de disco |
| PCMCIAController | Controlador PCMCIA |
| Physicaldisk | Physicaldisk |
| PhysicalMemory | Memória Física |
| PNPDEVICEDRIVER | Driver de dispositivo PNP |
| PointingDevice | Dispositivo de apontamento |
| PortableBattery | Bateria portátil |
| Portas | Portas |
| PowerCapabilities | Recursos de energia |
| PowerClientOptOutSettings | Configurações de exclusão do Power Management |
| PowerConfigurations | Configuração de Energia |
| PowerManagementDaily | Dados Diários do Power Management |
| PowerManagementInsomniaReasons | Razões de insônia do Power |
| PowerManagementMonthly | Dados mensais de gerenciamento de energia |
| PowerSettings | Configurações de energia |
| PrinterConfiguration | Configuração da impressora |
| PrinterDevice | Dispositivo da Impressora |
| PrintJobs | Imprimir Trabalhos |
| Processo | Um processo em um sistema operacional |
| ProcessModule() | Módulos carregados por processos especificados |
| Processador | Processador |
| ProtectedVolumeInformation | Informações de volume protegidas |
| Protocolo | Protocolo |
| QuickFixEngineering | Engenharia de Correção Rápida |
| Registro | Todos os valores de uma chavede registro específica A partir da versão 2107, o valor da chave foi adicionado à entidade Registry() |
| SCSIController | Controlador SCSI |
| SerialPortConfiguration | Configuração da porta serial |
| SerialPorts | Portas Serial |
| ServerFeature | Recurso do servidor |
| Serviço | Um serviço em um sistema de computador que executa o Windows |
| Serviços | Serviços |
| Ações | Ações |
| SMBConfig | Configuração SMB de um dispositivo |
| SMSAdvancedClientPorts | portas do cliente Configuration Manager |
| SMSAdvancedClientSSLConfigurations | configurações de SSL do cliente Configuration Manager |
| SMSAdvancedClientState | estado do cliente Configuration Manager |
| SMSDefaultBrowser | Navegador Padrão |
| SMSSoftwareTag | Marca de software |
| SMSWindows8Application | Aplicativo Windows |
| SMSWindows8ApplicationUserInfo | Informações do usuário do aplicativo Windows |
| SoftwareShortcut | Atalho de software |
| SoftwareUpdate | Uma atualização de software aplicável, mas não instalada no dispositivo |
| SoundDevices | Dispositivos de som |
| SWLicensingProduct | Produto de Licenciamento de Software |
| SWLicensingService | Serviço de Licenciamento de Software |
| SystemAccount | Conta do Sistema |
| SystemBootData | Dados de inicialização do sistema |
| SystemBootSummary | Resumo da Inicialização do Sistema |
| SystemConsoleUsage | Uso do Console do Sistema |
| SystemConsoleUser | Usuário do Console do Sistema |
| SystemDevices | Dispositivos do Sistema |
| SystemDrivers | Drivers do Sistema |
| SystemEnclosure | Compartimento do Sistema |
| TapeDrive | Unidade de Fita |
| TimeZone | Fuso Horário |
| TPM | TPM |
| TPMStatus | TPM Status |
| TSIssuedLicense | Licença emitida pelo TS |
| TSLicenseKeyPack | Pacote de chaves de licença TS |
| UninterruptiblePowerSupply | Fonte de alimentação ininterrupta |
| USBController | Controlador USB |
| Usbdevice | Dispositivo USB |
| User | Uma conta de usuário com uma conexão ativa com o dispositivo |
| USMFolderRedirectionHealth | Integridade de redirecionamento de pasta |
| USMUserProfile | Integridade do perfil do usuário |
| VideoController | Controlador de Vídeo |
| VirtualMachine | Máquina Virtual |
| VirtualMachine64 | Máquina Virtual (64) |
| Volume | Volume |
| WindowsUpdate | Windows Update |
| WindowsUpdateAgentVersion | Windows Update Agent Version |
| WinEvent() | Eventos dentro de 24 horas (por padrão) de um log de eventos do Windows |
| WriteFilterState | Estado do filtro de gravação |
Operadores de tabela
Os operadores de tabela podem ser usados filtrar, resumir e transformar fluxos de dados. Atualmente, há suporte para os seguintes operadores:
| Operadores de tabela | Descrição |
|---|---|
| count | Retorna uma tabela com um único registro que contém o número de registros |
| Distintas | Produz uma tabela com a combinação distinta das colunas fornecidas da tabela de entrada |
| participar | Mesclar as linhas de duas tabelas para formar uma nova tabela combinando linha para o mesmo dispositivo |
| order por | Classificar as linhas da tabela de entrada em ordem por uma ou mais colunas |
| projeto | Selecione as colunas para incluir, renomear ou soltar e inserir novas colunas computadas |
| Levar | Retornar até o número especificado de linhas |
| top | Retorna os primeiros registros N classificados pelas colunas especificadas |
| Onde | Filtra uma tabela para o subconjunto de linhas que atendem a um predicado |
Operadores escalares
A tabela a seguir resume os operadores:
| Operadores | Descrição | Exemplo |
|---|---|---|
| == | Igual a | 1 == 1, 'aBc' == 'AbC' |
| != | Não Igual | 1 != 2, 'abc' != 'abcd' |
| < | Menos | 1 < 2, 'abc' < 'DEF' |
| > | Maior | 2 > 1, 'xyz' > 'XYZ' |
| <= | Menos ou Igual | 1 <= 2, 'abc' <= 'abc' |
| >= | Maior ou Igual | 2 >= 1, 'abc' >= 'ABC' |
| + | Adicionar | 2 + 1, now() + 1d |
| - | Subtrair | 2 - 1, now() - 1h |
| * | Multiplicar | 2 * 2 |
| / | Dividir | 2 / 1 |
| % | Módulo | 2 % 1 |
| Como | O LHS (lado esquerdo) contém uma correspondência para RHS (lado direito) | 'abc' like '%B%' |
| !Como | O LHS não contém uma correspondência para RHS | 'abc' !like '_d_' |
| contains | O RHS ocorre como uma subsequência de LHS | 'abc' contains 'b' |
| !Contém | O RHS não ocorre no LHS | 'team' !contains 'i' |
| startswith | RHS é uma subsequência inicial do LHS | 'team' startswith 'tea' |
| !Startswith | RHS não é uma subsequência inicial do LHS | 'abc' !startswith 'bc' |
| endswith | RHS é uma subsequência de fechamento do LHS | 'abc' endswith 'bc' |
| !Endswith | RHS não é uma subsequência de fechamento do LHS | 'abc' !endswith 'a' |
| e | True se e somente se RHS e LHS forem verdadeiros | (1 == 1) and (2 == 2) |
| ou | True se e somente se RHS ou LHS for verdadeiro | (1 == 1) or (1 == 2) |
Funções de agregação
As funções de agregação podem ser usadas com o operador de tabela de resumo para calcular valores resumidos. Atualmente, há suporte para as seguintes funções de agregação:
| Função | Descrição |
|---|---|
| avg() | Retorna a média dos valores em todo o grupo |
| count() | Retorna uma contagem dos registros por grupo de resumo |
| countif() | Retorna uma contagem de linhas para as quais o Predicate avalia como true |
| dcount() | Retorna o número de valores distintos no grupo |
| max() | Retorna o valor máximo em todo o grupo |
| maxif() | A partir da versão 2107, você pode usar maxif com o operador de tabela de resumo. Retorna o valor máximo em todo o grupo para o qual o Predicate avalia como true. |
| min() | Retorna o valor mínimo em todo o grupo |
| minif() | A partir da versão 2107, você pode usar o minif com o operador de tabela de resumo. Retorna o valor mínimo em todo o grupo para o qual o Predicate avalia como true. |
| percentile() | Retorna uma estimativa para o percentil de classificação mais próximo especificado da população definida pelo Expr |
| sum() | Retorna a soma dos valores em todo o grupo |
| sumif() | Retorna uma soma de Expr para a qual o Predicate avalia como true |
Funções escalares
Funções escalares podem ser usadas em expressões. Atualmente, há suporte para as seguintes funções escalares:
| Função | Descrição |
|---|---|
| ago() | Subtrai o tempo limite determinado do tempo de relógio UTC atual |
| bin() | Arredonda os valores para baixo para um número de datetime múltiplo de um determinado tamanho de lixeira |
| case() | Avalia uma lista de predicados e retorna a primeira expressão de resultado cujo predicado está satisfeito |
| datetime_add() | Calcula um novo datetime de uma datepart especificada multiplicada por uma quantidade especificada, adicionada a um datetime especificado |
| datetime_diff() | Calcula a diferença entre dois valores de data e hora |
| iif() | Avalia o primeiro argumento e retorna o valor do segundo ou terceiro argumentos, dependendo se o predicado foi avaliado como true (segundo) ou false (terceiro) |
| indexof() | A função relata o índice baseado em zero da primeira ocorrência de uma cadeia de caracteres especificada na cadeia de caracteres de entrada |
| isnotnull() | Avalia seu único argumento e retorna um valor booliano indicando se o argumento é avaliado como um valor não nulo |
| isnull() | Avalia seu único argumento e retorna um valor booliano indicando se o argumento é avaliado como um valor nulo |
| now() | Retorna a hora do relógio UTC atual |
| strcat() | Concatena entre 1 e 64 argumentos |
| strlen() | Retorna o comprimento, em caracteres, da cadeia de caracteres de entrada |
| substring() | Extrai uma substring de uma cadeia de caracteres de origem começando de algum índice até o final da cadeia de caracteres |
| tostring() | Converte a entrada em uma representação de cadeia de caracteres |
Entidades, operadores e funções adicionais para CMPivot de Configuration Manager
Importante
Esses itens não têm suporte quando você executa o CMPivot no centro de administração Microsoft Endpoint Manager.
| Tipo | Item | Descrição |
|---|---|---|
| Entidade | AccountSID | CONTA SID |
| Entidade | FileContent() | Conteúdo de um arquivo específico |
| Entidade | NAPClient | Cliente NAP |
| Entidade | NAPSystemHealthAgent | Agente de Integridade do Sistema NAP |
| Entidade | RegistryKey() | Retorna todas as chaves do registro que correspondem à expressão determinada (começando na versão 2107) |
| Operador de tabela | render | Renderiza resultados como saída gráfica |
Próximas etapas
Para obter mais informações, consulte Iniciar CMPivot no centro de administração Para obter mais scripts de exemplo, consulte anexo de locatário do Microsoft Endpoint Manager: exemplos de script CMPivot.