Alterações à CMPivot

  • Artigo

Aplica-se a: Gestor de Configuração (ramo atual)

Utilize as seguintes informações para saber sobre as alterações feitas à CMPivot entre as versões Do Gestor de Configuração:

CmPivot alterações para a versão 2103

A partir da versão 2103, foram introduzidas as seguintes melhorias para a CMPivot:

Mensagem de aviso e exportação de opção de dados CMPivot quando os resultados são muito grandes

Quando os resultados são demasiado grandes, é apresentada a seguinte mensagem de aviso:

A sua consulta devolveu um grande número de resultados. Reduza os resultados modificando a consulta ou selecione este banner para exportar os resultados.

Esta mensagem ocorre nos seguintes cenários:

  • Quando os resultados são superiores a 100.000 células.

    • Por exemplo, o limiar de aviso é atingido por 10.000 dispositivos (linhas) com 10 colunas de dados da entidade.
    • Neste caso, será-lhe dada a opção de exportar resultados para um .csv ficheiro

  • Quando mais de 128 KB de dados é solicitado para ser devolvido de um determinado dispositivo.

    • Por exemplo, CcmLog('ciagent', 120d) as consultas registam resultados e é provável que ultrapassem o limite de 128 KB.
    • Quando os resultados forem superiores a 128 KB, receberá um aviso, mas não pode exportá-los, uma vez que não serão devolvidos do cliente para o servidor.

Aceda às principais consultas partilhadas no centro comunitário da CMPivot

A partir da versão 2103, pode aceder às principais consultas cmpivot partilhadas no hub comunitário a partir de instalações cmPivot. Ao utilizar consultas cmpivot pré-criadas partilhadas pela comunidade mais ampla, os utilizadores da CMPivot têm acesso a uma maior variedade de consultas. No local, a CMPivot acede ao centro comunitário e devolve uma lista das principais consultas de CMPivot descarregadas. Os utilizadores podem rever as principais consultas, personalizá-las e, em seguida, executar a pedido. Esta melhoria proporciona uma seleção mais alargada de consultas para uso imediato sem ter que construí-las e também permite a partilha de informações sobre como construir consultas para referência futura.

Nota

Estas consultas estão disponíveis quando executar o CMPivot a partir da consola Do Gestor de Configuração. Ainda não estão disponíveis na CMPivot autónoma.

Pré-requisitos:

Use o CMPivot para aceder às principais consultas de hub comunitário

  1. Vá ao espaço de trabalho Ativos e Compliance e, em seguida, selecione o nó de Recolhas de Dispositivos.

  2. Selecione uma recolha de alvos, dispositivo alvo ou grupo de dispositivos e, em seguida, selecione Iniciar CMPivot na fita para lançar a ferramenta.

  3. Use o ícone do centro comunitário no menu.

    Ícone de hub comunitário

  4. Reveja a lista das principais consultas partilhadas pela CMPivot.

    Principais consultas cmpivot do centro comunitário

  5. Selecione uma das consultas de topo para carregá-la no painel de consultas.

  6. Edite a consulta se necessário, então selecione ' 'Executar'.

  7. Opcionalmente, selecione o ícone da pasta para aceder à sua lista de favoritos. Adicione a consulta original ou a sua versão editada à sua lista de favoritos para ser executada mais tarde. Selecione o ícone do centro comunitário para procurar outra consulta.

  8. Mantenha a janela CMPivot aberta para ver os resultados dos clientes. Ao fechar a janela CMPivot, a sessão está completa. Se a consulta tiver sido enviada, os clientes ainda enviam uma resposta de mensagem de estado para o servidor.

CmPivot alterações para a versão 2006

A partir da versão de 2006, foram introduzidas as seguintes melhorias para a CMPivot:

  • A CMPivot autónoma e a CMPivot lançada a partir da consola de administração convergiram. Quando lança o CMPivot a partir da consola de administração, utiliza a mesma tecnologia subjacente que a CMPivot autónoma para lhe dar paridade de cenário.

  • Melhorias na navegação de teclado na CMPivot.

  • Pode executar CMPivot a partir de um dispositivo individual ou de vários dispositivos a partir do nó dos dispositivos sem necessidade de selecionar uma recolha do dispositivo. Esta melhoria facilita a criação de consultas cmpivots para dispositivos específicos fora de uma coleção pré-criada.

    • Selecione um dispositivo individual ou dispositivos multi-selecionais numa coleção de dispositivos ou, em seguida, selecione Iniciar CMPivot.

  • Ao retornar os dispositivos dentro de uma vista de lista de consultas, pode selecionar o Pivot do Dispositivo em um ou mais dispositivos e, em seguida, pivô e consultar apenas esses dispositivos para perfurar mais. Esta alteração permite-lhe perfurar sem consultar o conjunto maior de dispositivos da coleção original. O pivô do dispositivo substituiu o Pivô para.

    • Dentro de uma operação CMPivot existente, selecione um dispositivo individual ou dispositivos multi-selecionais a partir da saída. Clique à direita e coloque o pivô utilizando a opção De Pivô do Dispositivo. Esta ação lança uma instância CMPivot separada, apenas para os dispositivos selecionados. Isto facilita a rotação e a consulta sobre os dispositivos desejados sem necessidade de criar uma coleção para eles.

  • Quando executar CMPivot para um dispositivo individual, o nome do dispositivo está listado na parte superior da janela. Para vários dispositivos, o número de dispositivos selecionados está listado na parte superior da janela.

  • A opção 'Coleção Criar' no separador Resumo de Consulta foi removida uma vez que a CMPivot já não requer consulta contra uma coleção. Execute um Pivot de Dispositivo para abrir uma nova instância de CMPivot telescópio apenas para os dispositivos que deseja consultar. A Create Collection ainda está disponível no menu principal.

Pivô do dispositivo para vários dispositivos que utilizam o CMPivot

CmPivot alterações para a versão 2002

Facilitamos a navegação de entidades da CMPivot. A partir da versão 2002 do Gestor de Configuração, pode pesquisar entidades cmpivot. Novos ícones também foram adicionados para diferenciar facilmente as entidades e os tipos de objetos de entidade.

Pesquisa de entidades cmpivot

CMPivot alterações para a versão 1910

A partir da versão 1910, a CMPivot foi significativamente otimizada para reduzir o tráfego de rede e a carga nos seus servidores. Adicionalmente, foram adicionadas várias entidades e melhorias de entidades para ajudar na resolução de problemas e na caça. Foram introduzidas na versão 1910 as seguintes alterações para a CMPivot:

Otimizações ao motor CMPivot

Para reduzir o tráfego de rede e a carga nos seus servidores, a CMPivot foi otimizada em 1910. Muitas operações de consulta são agora realizadas diretamente no cliente e não nos servidores. Esta alteração significa também que algumas operações da CMPivot devolvem dados mínimos da primeira consulta. Se decidir perfurar os dados para obter mais informações, poderá ser executada uma nova consulta para obter os dados adicionais do cliente. Por exemplo, anteriormente um grande conjunto de dados foi devolvido ao servidor quando executou uma consulta de "contagem sumária". Ao devolver um grande conjunto de dados oferecido imediatamente, muitas vezes apenas a contagem resumida era necessária. Em 1910, quando opta por perfurar um cliente específico, ocorre outra recolha dos dados para devolver os dados adicionais que solicitou. Esta mudança traz melhor desempenho e escalabilidade às consultas contra um grande número de clientes.

Exemplos

As otimizações cmPivot reduzem drasticamente a carga cpu de rede e servidor necessária para executar consultas cmpivot. Com estas otimizações, podemos agora analisar gigabytes de dados do cliente em tempo real. As seguintes consultas ilustram estas otimizações:

  • Procure todos os registos de eventos em todos os clientes da sua empresa para obter falhas de autenticação.

    EventLog('Security')
| where  EventID == 4673
| summarize count() by Device
| order by count_ desc

  • Procure um ficheiro por hash.

    Device
| join kind=leftouter ( File('%windir%\\system32\\*.exe')
| where SHA256Hash == 'A92056D772260B39A876D01552496B2F8B4610A0B1E084952FE1176784E2CE77')
| project Device, MalwareFound = iif( isnull(FileName), 'No', 'Yes')

WinEvent. <logname> <timespan>

Esta entidade é usada para obter eventos a partir de registos de eventos e ficheiros de registo de rastreio de eventos. A entidade obtém dados de registos de eventos que são gerados pela tecnologia Windows Event Log. A entidade também obtém eventos em ficheiros de registo gerados por Event Tracing para Windows (ETW). O WinEvent analisa os acontecimentos que ocorreram nas últimas 24 horas por defeito. No entanto, o padrão de 24 horas pode ser ultrapassado através da inclusão de um período de tempo.

WinEvent('Microsoft-Windows-HelloForBusiness/Operational', 1d)
| where LevelDisplayName =='Error'
| summarize count() by Device

FileContent. <filename>

FileContent é usado para obter o conteúdo de um ficheiro de texto.

FileContent('c:\\windows\\SMSCFG.ini')
| where Content startswith  'SMS Unique Identifier='
| project Device, SMSId= substring(Content,22)

ProcessModule. <processname>

Esta entidade é usada para enumerar os módulos (dlls) carregados por um determinado processo. O ProcessModule é útil na caça de malware que se esconde em processos legítimos.

ProcessModule('powershell')
| summarize count() by ModuleName
| order by count_ desc

AadStatus

Esta entidade pode ser usada para obter a informação de identidade Azure Ative Directory atual de um dispositivo.

AadStatus
| project Device, IsAADJoined=iif( isnull(DeviceId),'No','Yes')
| summarize DeviceCount=count() by IsAADJoined
| render piechart

EPStatus

O EPStatus é utilizado para obter o estado do software antimalware instalado no computador.

EPStatus
| project Device, QuickScanAge=datetime_diff('day',now(),QuickScanEndTime)
| summarize DeviceCount=count() by QuickScanAge
| order by QuickScanAge
| render barchart

Avaliação de consulta de dispositivo local utilizando o autónomo CMPivot

Ao utilizar o CMPivot fora da consola Do Gestor de Configuração, pode consultar apenas o dispositivo local sem a necessidade da infraestrutura do Gestor de Configuração. Pode agora aproveitar as consultas cmpivot Azure Log Analytics para visualizar rapidamente as informações do WMI no dispositivo local. Isto também permite validação e refinamento de consultas cmpivot, antes de executá-las em um ambiente maior. O CMPivot autónomo só está disponível em inglês. Para obter mais informações sobre a CMPivot autónoma, consulte a CMPivot autónoma.

Questões conhecidas para avaliação de consulta de dispositivos locais

  • Se consultar este PC para uma entidade WMI a que não tenha acesso, como uma classe WMI bloqueada, poderá ver uma falha na CMPivot. Executar a CMPivot utilizando uma conta com privilégios elevados para consultar essas entidades.
  • Se consultar entidades não-WMI neste PC, verá um espaço de nome inválido ou uma exceção ambígua.
  • Execute o CMPivot autónomo a partir do atalho inicial do menu, não diretamente do caminho do ficheiro executável.

Outras melhorias

  • Pode fazer consultas regulares de tipo expressão utilizando o novo like operador. Por exemplo:

    //Find BIOS manufacture that contains any word like Micro, such as Microsoft
Bios
| where Manufacturer like '%Micro%'

  • Atualizámos as entidades ccmLog e EventLog() para apenas olhar mensagens nas últimas 24 horas por padrão. Este comportamento pode ser ultrapassado passando por um período de tempo opcional. Por exemplo, a seguinte consulta irá analisar os acontecimentos nas últimas 1 hora:

    CcmLog('Scripts',1h)

  • A entidade de Ficheiros foi atualizada para recolher informações sobre ficheiros Ocultos e Sistemas e incluir o hash MD5. Embora um hash MD5 não seja tão preciso como o hash SHA256, costuma ser o hash comunicado na maioria dos boletins de malware.

  • Pode adicionar comentários em consultas. Este comportamento é útil ao partilhar consultas. Por exemplo:

    //Get the top ten devices sorted by user
Device
| top 10 by UserName

  • A CMPivot liga-se automaticamente ao último local. Depois de iniciar o CMPivot, pode ligar-se a um novo site, se necessário.

  • A partir do menu Exportação, selecione a nova opção de ligação de consulta à área de transferência. Esta ação copia um link para a área de transferência que pode partilhar com outros. Por exemplo:

    cmpivot:Ly8gU2FtcGxlIHF1ZXJ5DQpPcGVyYXRpbmdTeXN0ZW0NCnwgc3VtbWFyaXplIGNvdW50KCkgYnkgQ2FwdGlvbg0KfCBvcmRlciBieSBjb3VudF8gYXNjDQp8IHJlbmRlciBiYXJjaGFydA==

    Este link abre a CMPivot autónoma com a seguinte consulta:

    // Sample query
OperatingSystem
| summarize count() by Caption
| order by count_ asc
| render barchart

    Dica

    Para que este link funcione, instale a CMPivot autónoma.

  • Nos resultados da consulta, se o dispositivo estiver inscrito no Microsoft Defender para Endpoint, clique com o botão direito para lançar o portal online Centro de Segurança do Microsoft Defender.

Emissões conhecidas para a CMPivot na versão 1910

  • A bandeira de resultados máxima não pode ser exibida quando o limite for atingido.
    • Cada cliente está limitado a 128 KB de dados por consulta.
    • Os resultados podem ser truncados se os resultados da consulta excederem 128 KB.

CmPivot alterações para a versão 1906

A partir da versão 1906, foram adicionados à CMPivot os seguintes itens:

Adicionar juntas, operadores adicionais e agregadores na CMPivot

Tem agora operadores aritméticos adicionais, agregadores e a capacidade de adicionar juntas de consulta, tais como a utilização de Registo e Arquivo em conjunto. Foram adicionados os seguintes itens:

Operadores de mesa

Operadores de mesa Descrição
juntar-se Fundir as linhas de duas mesas para formar uma nova tabela, combinando linha para o mesmo dispositivo
render Produz resultados como saída gráfica

O operador de renderização já existe na CMPivot. Foi adicionado suporte a várias séries e à declaração com comunicado. Para mais informações, consulte a secção de exemplos e o artigo de alisto da Kusto.

Limitações para junções

  1. A coluna de junção é sempre feita implicitamente no campo Dispositivo.
  2. Você pode usar um máximo de 5 juntas por consulta.
  3. Pode utilizar um máximo de 64 colunas combinadas.

Operadores escalares

Operador Descrição Exemplo
+ Adicionar 2 + 1, now() + 1d
- Subtrair 2 - 1, now() - 1d
* Multiplicar 2 * 2
/ Dividir 2 / 1
% Módulo 2 % 1

Funções de agregação

Função Descrição
percentil() Devolve uma estimativa para o percentil de nível mais próximo especificado da população definida por Expr
sumif() Devolve uma soma de Expr para a qual Predicate avalia a verdade

Funções escalares

Função Descrição
case() Avalia uma lista de predicados e devolve a expressão do primeiro resultado cujo predicado está satisfeito
iff() Avalia o primeiro argumento e devolve o valor do segundo ou terceiro argumentos dependendo se o predicado avaliado para verdadeiro (segundo) ou falso (terceiro)
indexof() A função relata o índice baseado em zero da primeira ocorrência de uma cadeia especificada dentro da cadeia de entrada
strcat() Concatenates entre 1 e 64 argumentos
strlen() Devolve o comprimento, em caracteres, da cadeia de entrada
substring() Extrai um sub-cordão de uma cadeia de origem que começa de algum índice até ao fim da cadeia
tostring() Converte a entrada para uma operação de cordas

Exemplos

  • Dispositivo de exibição, fabricante, modelo e OSVersion:

    ComputerSystem
| project Device, Manufacturer, Model
| join (OperatingSystem | project Device, OSVersion=Caption)

  • Mostrar gráfico dos tempos de arranque para um dispositivo:

    SystemBootData
| where Device == 'MyDevice'
| project SystemStartTime, BootDuration, OSStart=EventLogStart, GPDuration, UpdateDuration
| order by SystemStartTime desc
| render barchart with (kind=stacked, title='Boot times for MyDevice', ytitle='Time (ms)')

    Gráfico de barra empilhado mostrando tempos de arranque para um dispositivo em ms

Acrescentou permissões cmpivot à função de Administrador de Segurança

A partir da versão 1906, foram adicionadas as seguintes permissões à função de Administrador de Segurança incorporado do Gestor de Configuração:

  • Ler no Script SMS
  • Executar CMPivot na Coleção
  • Ler no Relatório de Inventário

Nota

Executar Scripts é um super conjunto da permissão Run CMPivot.

CMPivot autónomo

A partir da versão 1906, pode utilizar a CMPivot como uma aplicação autónoma. O CMPivot autónomo só está disponível em inglês. Executar CMPivot fora da consola Do Gestor de Configuração para ver o estado em tempo real dos dispositivos no seu ambiente. Esta alteração permite-lhe utilizar o CMPivot num dispositivo sem antes instalar a consola.

Dica

Esta funcionalidade foi introduzida pela primeira vez na versão 1906 como uma funcionalidade pré-lançamento. Começando pela versão 2002, já não é uma funcionalidade pré-lançamento.

Pode partilhar o poder da CMPivot com outras personalidades, como o Helpdesk ou os administradores de segurança, que não têm a consola instalada no computador. Estas outras personalidades podem usar o CMPivot para consultar o Gestor de Configuração ao lado das outras ferramentas que tradicionalmente utilizam. Ao partilhar estes dados de gestão ricos, pode trabalhar em conjunto para resolver proativamente problemas de negócio que cruzam papéis.

Instalar CMPivot autónomo

  1. Configurar as permissões necessárias para executar a CMPivot. Para mais informações, consulte os pré-requisitos. Também pode utilizar a função de Administrador de Segurança se as permissões forem apropriadas para o utilizador.

  2. Encontre o instalador de aplicações CMPivot no seguinte caminho: <site install path>\tools\CMPivot\CMPivot.msi . Pode executá-lo a partir desse caminho, ou copiá-lo para outro local.

  3. Quando executar a app autónoma CMPivot, será solicitado que se conecte a um site. Especifique o nome de domínio ou nome de computador totalmente qualificado da Administração Central ou do servidor do site primário.

    • Cada vez que abrir o CMPivot autónomo, será solicitado a ligar-se a um servidor do site.

  4. Navegue pela coleção em que pretende executar a CMPivot e, em seguida, faça a sua consulta.

    Navegue pela coleção contra a sua consulta

Nota

  • As ações de clique com direito, tais como Scripts de Execução, Explorador de Recursos e pesquisa na Web não estão disponíveis em autónomo CMPivot. A utilização primária da CMPivot é consulta independente da infraestrutura do Gestor de Configuração. Para ajudar os administradores de segurança, a CMPivot autónoma inclui a capacidade de se ligar a Centro de Segurança do Microsoft Defender.
  • A partir da versão 1910, pode fazer uma avaliação de consulta de dispositivo local utilizando o CMPivot autónomo.

CmPivot alterações para a versão 1902

A partir da versão 1902 do Gestor de Configuração, pode executar a CMPivot a partir do site da administração central (CAS) numa hierarquia. O local principal ainda trata da comunicação com o cliente. Ao executar o CMPivot a partir do site da administração central, comunica com o site principal através do canal de subscrição de mensagens de alta velocidade. Esta comunicação não depende da replicação padrão SQL Server entre sites.

A execução de CMPivot no CAS exigirá permissões adicionais quando SQL Server ou o Fornecedor de SMS não estiver na mesma máquina ou no caso de SQL Server Sempre Na configuração do grupo de disponibilidade. Com estas configurações remotas, tem um "cenário de duplo lúpulo" para a CMPivot.

Para que a CMPivot trabalhe no CAS num "cenário de duplo lúpulo", pode definir a delegação restrita. Para compreender as implicações de segurança desta configuração, leia o artigo da delegação restrita de Kerberos. Kerberos precisa de trabalhar em todo o lúpulo entre as máquinas. Se tiver mais do que uma configuração remota, como SQL Server ou Fornecedor de SMS, que está a ser colocado com o CAS ou não, ou várias florestas de confiança, poderá necessitar de uma combinação de definições de permissão. Abaixo estão os passos que poderá ter de tomar:

O CAS tem uma SQL Server remota.

  1. Vá ao SQL Server de cada local primário.

    1. Adicione o SQL Server remoto CAS e o servidor do site CAS ao grupo Configmgr_DviewAccess. Configmgr_DviewAccess grupo na SQL Server de um local primário

  2. Aceda a Utilizadores e Computadores de Diretório Ativo.

    1. Para cada servidor do site primário, clique no botão direito e selecione Propriedades.
      1. No separador de delegação, escolha a terceira opção, Confie neste computador para delegação apenas para serviços especificados.
      2. Escolha apenas Use Kerberos.
      3. Adicione o serviço de SQL Server do CAS com porta e exemplo.
      4. Certifique-se de que estas alterações estão alinhadas com a política de segurança da sua empresa!
    2. Para o site CAS, clique à direita e selecione Propriedades.
      1. No separador de delegação, escolha a terceira opção, Confie neste computador para delegação apenas para serviços especificados.
      2. Escolha apenas Use Kerberos.
      3. Adicione o serviço de SQL Server de cada site primário com porta e instância.
      4. Certifique-se de que estas alterações estão alinhadas com a política de segurança da sua empresa!

    CmPivot AD exemplo para lúpulo duplo

O CAS tem um fornecedor remoto

  1. Vá ao SQL Server de cada local primário.
    1. Adicione a conta de máquina do fornecedor CAS e o servidor do site CAS ao grupo Configmgr_DviewAccess.
  2. Aceda a Utilizadores e Computadores de Diretório Ativo.
    1. Selecione a máquina de provedor CAS, clique no botão direito e selecione Propriedades.
      1. No separador de delegação, escolha a terceira opção, Confie neste computador para delegação apenas para serviços especificados.
      2. Escolha apenas Use Kerberos.
      3. Adicione o serviço de SQL Server de cada site primário com porta e instância.
      4. Certifique-se de que estas alterações estão alinhadas com a política de segurança da sua empresa!
    2. Selecione o servidor do site CAS, clique no botão direito e selecione Propriedades.
      1. No separador de delegação, escolha a terceira opção, Confie neste computador para delegação apenas para serviços especificados.
      2. Escolha apenas Use Kerberos.
      3. Adicione o serviço de SQL Server de cada site primário com porta e instância.
      4. Certifique-se de que estas alterações estão alinhadas com a política de segurança da sua empresa!
  3. Reinicie a máquina de fornecedor remoto CAS.

Grupos de disponibilidade Always On do SQL Server

  1. Vá ao SQL Server de cada local primário.
    1. Adicione o servidor do site CAS ao grupo Configmgr_DviewAccess.
  2. Aceda a Utilizadores e Computadores de Diretório Ativo.
    1. Para cada servidor do site primário, clique no botão direito e selecione Propriedades.
      1. No separador de delegação, escolha a terceira opção, Confie neste computador para delegação apenas para serviços especificados.
      2. Escolha apenas Use Kerberos.
      3. Adicione as contas de serviço SQL Server do CAS para os nós SQL Server com o porto e o exemplo.
      4. Certifique-se de que estas alterações estão alinhadas com a política de segurança da sua empresa!
    2. Selecione o servidor do site CAS, clique no botão direito e selecione Propriedades.
      1. No separador de delegação, escolha a terceira opção, Confie neste computador para delegação apenas para serviços especificados.
      2. Escolha apenas Use Kerberos.
      3. Adicione o serviço de SQL Server de cada site primário com porta e instância.
      4. Certifique-se de que estas alterações estão alinhadas com a política de segurança da sua empresa!
  3. Certifique-se de que o SPN é publicado para o nome do ouvinte CAS e para cada nome de ouvinte primário.
  4. Reinicie os nós SQL Server primários.
  5. Reinicie o servidor do site CAS e os nós SQL Server CAS.

CMPivot altera para a versão 1810

A CMPivot inclui as seguintes melhorias a partir da versão 1810 do Gestor de Configuração:

Utilidade e desempenho da CMPivot

  • A CMPivot vai devolver até 100.000 células em vez de 20.000 linhas.

    • Se a entidade tiver 5 propriedades, ou seja, 5 colunas, até 20.000 linhas serão mostradas.
    • Para uma entidade com 10 propriedades, serão mostradas até 10.000 filas.
    • Os dados totais apresentados serão inferiores ou iguais a 100.000 células.

  • No separador Resumo de Consulta, selecione a contagem de dispositivos falhados ou offline e, em seguida, selecione a opção de Criar Coleção. Esta opção facilita a segmentação desses dispositivos com uma implementação de reparação.

    • Esta opção foi removida na versão de 2006, uma vez que a CMPivot já não necessita de consultas contra uma coleção.

  • Guarde as consultas favoritas clicando no ícone da pasta. Exemplo de salvar uma consulta favorita na CMPivot

  • Os clientes atualizados para a versão 1810 devolvam a saída de retorno inferior a 80 KB para o site em um canal de comunicação rápida.

    • Esta alteração aumenta o desempenho da visualização do script ou da saída de consulta.
    • Se a saída do script ou consulta for superior a 80 KB, o cliente envia os dados através de uma mensagem de estado.
    • Se o cliente não for atualizado para a versão do cliente de 1810, continua a utilizar mensagens estatais.

  • Pode ver o seguinte erro quando iniciar o CMPivot: Não pode utilizar o CMPivot neste momento devido a uma versão de script incompatível. Esta questão pode ser porque a hierarquia está em processo de modernização de um site. Aguarde até que a atualização esteja completa e tente novamente.

    • Se vir esta mensagem, pode significar:
      • O âmbito de segurança não está bem montado.
      • Existem problemas com a Atualização no processo.
      • O script cmpivot subjacente é incompatível.

Funções escalar

A CMPivot suporta as seguintes funções de escala:

  • ago(): Subtrai o tempo de tempo dado do tempo atual utc
  • datetime_diff[): Calcula a diferença de calendário entre dois valores de data
  • agora(): Devolve o tempo atual do relógio UTC
  • bin[): Valores de rondas até um inteiro múltiplo de um dado tamanho de lixo

Nota

O tipo de dados de datata representa um instante no tempo, normalmente expresso como data e hora do dia. Os valores do tempo são medidos em unidades de 1 segundo. Um valor de data está sempre no fuso horário UTC. Sempre expresse a hora literal no formato ISO 8601, por exemplo, yyyy-mm-dd HH:MM:ss

Exemplos

  • datetime(2015-12-31 23:59:59.9): Uma data específica literal
  • now(): A hora atual
  • ago(1d): A hora atual menos um dia

Visualização de renderização

A CMPivot passa a incluir suporte básico para o operador de renderizaçãoKQL . Este suporte inclui os seguintes tipos:

  • barchart: A primeira coluna é eixo x, e pode ser texto, data ou numérico. As segundas colunas devem ser numéricas e apresentadas como uma tira horizontal.
  • característica de coluna: Como o barchart, com tiras verticais em vez de tiras horizontais.
  • piechart: A primeira coluna é o eixo de cores, a segunda coluna é numérica.
  • timechart: Gráfico de linha. A primeira coluna é eixo x, e deve ser a hora da data. A segunda coluna é o eixo y.

Exemplo: gráfico de barras

A seguinte consulta torna as aplicações mais usadas recentemente como um gráfico de barras:

CCMRecentlyUsedApplications
| summarize dcount( Device ) by ProductName
| top 10 by dcount_
| render barchart

Exemplo de visualização do gráfico de barras cmPivot

Exemplo: gráfico de tempo

Para tornar os gráficos de tempo, utilize o novo operador de contentores para agrupar eventos a tempo. A seguinte consulta mostra quando os dispositivos começaram nos últimos sete dias:

OperatingSystem
| where LastBootUpTime <= ago(7d)
| summarize count() by bin(LastBootUpTime,1d)
| render timechart

Exemplo de visualização do gráfico temporal da CMPivot

Exemplo: gráfico de tortas

A seguinte consulta exibe todas as versões de SO num gráfico de tartes:

OperatingSystem
| summarize count() by Caption
| render piechart

Exemplo de visualização do gráfico de tartes CMPivot

Inventário de hardware

Utilize o CMPivot para consultar qualquer classe de inventário de hardware. Estas aulas incluem quaisquer extensões personalizadas que você faça para o inventário de hardware. A CMPivot devolve imediatamente os resultados em cache da última verificação de inventário de hardware armazenada na base de dados do site. Ao mesmo tempo, atualiza os resultados se necessário com dados ao vivo de quaisquer clientes online.

A saturação de cor dos dados na tabela de resultados ou gráfico indica se os dados estão vivos ou em cache. Por exemplo, o azul escuro é dados em tempo real de um cliente online. Azul claro é dados em cache.

Exemplo

LogicalDisk
| summarize sum( FreeSpace ) by Device
| order by sum_ desc
| render columnchart

Exemplo de consulta de inventário cmpivot com visualização de gráfico de coluna

Limitações

  • As seguintes entidades de inventário de hardware não são suportadas:
    • Propriedades de matriz, por exemplo endereço IP
    • Real32/Real64
    • Propriedades de objetos incorporados
  • Os nomes das entidades de inventário devem começar com um personagem
  • Não se pode substituir as entidades incorporadas criando uma entidade de inventário com o mesmo nome

Operadores escalares

A CMPivot inclui os seguintes operadores de escala:

Nota

  • LHS: corda à esquerda do operador
  • RHS: corda à direita do operador
Operador Descrição Exemplo (rendimentos verdadeiros)
== Igual a "aBc" == "aBc"
!= Não é igual "abc" != "ABC"
como LHS contém uma correspondência para RHS "FabriKam" like "%Brik%"
!como LHS não contém uma correspondência para RHS "Fabrikam" !like "%xyz%"
contains O RHS ocorre como uma subsequência de LHS "FabriKam" contains "BRik"
!contém O RHS não ocorre no LHS "Fabrikam" !contains "xyz"
começa com RHS é uma subsequância inicial de LHS "Fabrikam" startswith "fab"
!começa com RhS não é uma subsequância inicial de LHS "Fabrikam" !startswith "kam"
termina com RHS é uma subsequência de encerramento de LHS "Fabrikam" endswith "Kam"
!termina com RhS não é uma sub-equestão de encerramento de LHS "Fabrikam" !endswith "brik"

Resumo de consulta

Selecione o separador Resumo de Consulta na parte inferior da janela CMPivot. Este estado ajuda-o a identificar clientes que estão offline ou erros de resolução de problemas que possam ocorrer. Selecione um valor na coluna Count para abrir uma lista de dispositivos específicos com esse estado.

Por exemplo, selecione a contagem de dispositivos com um estado de Falha. Consulte a mensagem de erro específica e exporte uma lista destes dispositivos. Se o erro for que um cmdlet específico não seja reconhecido, crie uma coleção da lista de dispositivos exportados para implementar uma atualização Windows PowerShell.

Mensagens de estado de auditoria da CMPivot

A partir da versão 1810, quando gere a CMPivot, é criada uma mensagem de estado de auditoria com o MessageID 40805. Pode ver as mensagens de estado indo para as consultas de estado > do estado do sistema > de monitorização. Pode executar todas as mensagens de estado de auditoria para um utilizador específico, todas as mensagens de estado de auditoria para um Site específico, ou criar a sua própria consulta de mensagem de estado.

O seguinte formato é utilizado para a mensagem:

MessageId 40805: < UserName> executou script < Script-Guid> com> hash < Script-Hash na coleção < ID>.

  • 7DC6B6F1-E7F6-43C1-96E0-E1D16BC25C14 é a Script-Guid para a CMPivot.
  • A Script-Hash pode ser vista nos scripts do cliente.log ficheiro.
  • Também pode ver o hash armazenado no armazenamento de scripts do cliente. O nome de ficheiro no cliente é < Script-Guid>_ < Script-Hash>.
    • Nome do ficheiro exemplo: C:\Windows\CCM\ScriptStore\7DC6B6F1-E7F6-43C1-96E0-E1D16BC25C14_abc1d23e45678901fabc123d456ce789fa1b2cd3e456789123fab4c56789d0123.ps

Amostra de mensagem de estado de auditoria da CMPivot

Passos seguintes

Resolução de Problemas do CMPivot