Dela via

Klientkoppling: CMPivot-exempelskript

  • Artikel

Gäller för: Configuration Manager (aktuell gren)

Kör CMPivot-frågor från Microsoft Intune administrationscenter. Nedan visas några vanliga frågebehov och hur CMPivot kan användas för att uppfylla dem. CMPivot använder en delmängd av Kusto-frågespråk (KQL).

Nedan visas några vanliga frågebehov och hur CMPivot kan användas för att uppfylla dem. CMPivot använder en delmängd av Kusto-frågespråk (KQL).

Operativsystem

Hämtar information om operativsystemet.

// Sample query for OS information
OperatingSystem

Nyligen använda program

Följande fråga hämtar nyligen använda program (de senaste 2 timmarna):

CCMRecentlyUsedApplications
| where (LastUsedTime > ago(2h))
| project CompanyName, ProductName, ProductVersion, LastUsedTime

Enhetens starttider

Följande fråga visar när enheterna startades under de senaste sju dagarna:

OperatingSystem
| where LastBootUpTime <= ago(7d)
| summarize count() by bin(LastBootUpTime,1d)

Ledigt diskutrymme

Följande fråga visar ledigt diskutrymme:

LogicalDisk
| project Device, DeviceID, Name, Description, FileSystem, Size, FreeSpace
| order by DeviceID asc

Enhetsinformation

Visa enhet, tillverkare, modell och OSVersion:

ComputerSystem
| project Device, Manufacturer, Model
| join (OperatingSystem | project Device, OSVersion=Caption)

Starttider för en enhet

Visa starttider för enheter:

SystemBootData
| project Device, SystemStartTime, BootDuration, OSStart=EventLogStart, GPDuration, UpdateDuration
| order by SystemStartTime desc

Autentiseringsfel

Sök i händelseloggarna efter autentiseringsfel.

EventLog('Security')
| where  EventID == 4673

ProcessModule(<processname>)

Räknar upp alla moduler (dlls) som läses in av en viss process. ProcessModule är användbart när du letar efter skadlig kod som döljs i legitima processer.

ProcessModule('powershell')
| summarize count() by ModuleName
| order by count_ desc

Programstatus för program mot skadlig kod

Hämtar status för program mot skadlig kod som installerats på datorn som samlats in av cmdleten Get-MpComputerStatus . Entiteten stöds på Windows 10 och Server 2016, eller senare med Defender igång. |

EPStatus
| project Device, QuickScanAge=datetime_diff('day',now(),QuickScanEndTime)
| summarize DeviceCount=count() by QuickScanAge

Hitta BIOS-tillverkare som innehåller ord som Micro

Bios
// Find BIOS Manufacturer that contains any word like Micro, such as Microsoft
| where Manufacturer like '%Micro%'

Sök efter fil med dess hash

Sök efter en fil med hash.

Device
| join kind=leftouter ( File('%windir%\\system32\\*.exe')
| where SHA256Hash == 'A92056D772260B39A876D01552496B2F8B4610A0B1E084952FE1176784E2CE77')
| project Device, MalwareFound = iif( isnull(FileName), 'No', 'Yes')

Hitta "Skript" i CCM-loggarna under den senaste timmen

Följande fråga tittar på händelser under de senaste 1 timmen:

CcmLog('Scripts',1h)

Hitta information i registret

Sök efter registerinformation.

// Change the path to match your desired registry hive query
// The RegistryKey entity (added in version 2107) isn't supported with CMPivot for tenant attached devices.  

Registry('hklm:\SOFTWARE\Microsoft\EnterpriseCertificates\Root\Certificates\*')
RegistryKey('hklm:\SOFTWARE\Microsoft\EnterpriseCertificates\Root\Certificates\*')

RegistryKey('hklm:\SOFTWARE\Microsoft\SMS\*')
Registry('hklm:\SOFTWARE\Microsoft\SMS\*')

Nästa steg

Mer information finns i Starta CMPivot från administrationscentret Mer information om entiteter för dina frågor finns i Microsoft Intune klientkoppling: översikt över CMPivot-användning.