CMPivot 概觀
適用於:Configuration Manager (目前的分支)
CMPivot 可讓您快速評估環境中裝置的狀態,並採取動作。 當您輸入查詢時,CMPivot 會在所選取集合中所有目前連線的裝置上即時執行查詢。 然後可以篩選、分組及精簡傳回的數據,以回答商務問題、針對環境中的問題進行疑難解答,或回應安全性威脅。 如需使用 CMPivot 的詳細資訊,請 參閱使用 CMPivot。
查詢
查詢可用來搜尋字詞、識別趨勢、分析模式,以及根據您的數據提供許多其他見解。 CMPivot 會針對表格式表達式語句使用 Azure Log Analytics 數據流模型的子集。 表格式表達式語句的一般結構是用戶端實體和表格式數據運算子的組合, (例如篩選和投影) 。 組合是由管道字元 (表示 |) ,提供語句一般形式,以可視化方式表示表格式數據從左至右的流程。 每個運算符都會接受「從管道」的表格式數據集,以及其他輸入 (包括從運算符主體) 的其他表格式數據集,然後發出表格式數據集給下一個運算符,如下所示: entity | operator1 | operator2 | ...
在下列範例中,實體 CCMRecentlyUsedApplications (最近使用的應用程式) 的參考,而運算符則是 (根據某個每筆記錄述詞篩選出其輸入記錄的位置) :
CCMRecentlyUsedApplications | where CompanyName like '%Microsoft%' | project CompanyName, ExplorerFileName, LastUsedTime, LaunchCount, FolderPath
實體
實體是可從客戶端查詢的物件。 我們目前支援下列實體:
| 實體 | 描述 |
|---|---|
| AadStatus | Microsoft Entra ID 的狀態 |
| 系統管理員 | 本機系統管理員群組的成員 |
| AppCrash | 最近的應用程式損毀報告 |
| AppVClientApplication | AppV 用戶端應用程式 |
| AppVClientPackage | AppV 用戶端套件 |
| AutoStartSoftware | 自動啟動的軟體,或緊接在操作系統之後 |
| 腳板 | 腳板 |
| 電池 | 電池 |
| Bios | 系統 BIOS 資訊 |
| BitLocker | BitLocker |
| BitLockerEncryptionDetails | BitLocker 加密詳細數據 |
| BitLockerPolicy | BitLocker 原則 |
| BootConfiguration | 開機設定 |
| BrowserHelperObject | Browser Helper 物件 |
| BrowserUsage | 瀏覽器使用方式 |
| CcmLog () | 預設會從 Ccm 記錄檔) 24 小時內 (行 |
| CCMRAX | CCM_RAX |
| CCMRecentlyUsedApplications | 最近使用的應用程式 |
| CCMWebAppInstallInfo | Web 應用程式 |
| CDROM | CDROM 磁碟驅動器 |
| ClientEvents | 用戶端事件 |
| ComputerSystem | 計算機系統 |
| ComputerSystemEx | 計算機系統 Ex |
| ComputerSystemProduct | 計算機系統產品 |
| ConnectedDevice | 線上的裝置 |
| 連線 | 裝置中或裝置外的作用中 Tcp 連線 |
| 電腦 | 電腦 |
| DesktopMonitor | 桌面監視器 |
| 裝置 | 裝置的基本資訊 |
| 磁碟 | 執行 Windows 之電腦系統上的本機存放設備資訊 |
| DMA | DMA |
| DMAChannel | DMA 通道 |
| DriverVxD | 驅動程式 - VxD |
| EmbeddedDeviceInformation | 內嵌裝置資訊 |
| 環境 | 環境 |
| EPStatus | Cmdlet 所 Get-MpComputerStatus 收集電腦上的反惡意代碼軟體狀態。 在執行Defender的 Windows 10 和 Server 2016 或更新版本上支援。 |
| EventLog () | 根據預設,24 小時內的事件會從事件記錄檔) ( |
| 檔案 () | 特定檔案的相關信息 |
| FileShare | 使用中檔案共享資訊 |
| 固件 | 固件 |
| IDEController | IDE 控制器 |
| InstalledExecutable | 已安裝的可執行檔 |
| InstalledSoftware | 安裝在裝置上的應用程式 |
| IPConfig | 取得網路設定,包括可用的介面、IP 位址和 DNS 伺服器 |
| IRQTable | IRQ 數據表 |
| 鍵盤 | 鍵盤 |
| LoadOrderGroup | 載入順序群組 |
| LogicalDisk | 邏輯磁碟 |
| MDMDevDetail | 裝置資訊 |
| 記憶體 | 記憶體 |
| 數據機 | 數據機 |
| 母板 | 母板 |
| NetworkAdapter | 網路配接器 |
| NetworkAdapterConfiguration | 網路配接器設定 |
| NetworkClient | 網路用戶端 |
| NetworkLoginProfile | 網路登入配置檔 |
| NTEventlogFile | NT 事件記錄檔 |
| Office365ProPlusConfigurations | Office 365 Apps 設定 |
| OfficeAddin | Office 載入宏 |
| OfficeClientMetric | Office 用戶端計量 |
| OfficeDeviceSummary | Office 裝置摘要 |
| OfficeDocumentMetric | Office 文件計量 |
| OfficeDocumentSolution | Office 文件解決方案 |
| OfficeMacroError | Office 宏錯誤 |
| OfficeProductInfo | Office 產品資訊 |
| OfficeVbaRuleViolation | Office Vba 規則違規 |
| OfficeVbaSummary | Office VBA 掃描摘要 |
| OperatingSystem | 作業系統 |
| OperatingSystemEx | 操作系統 Ex |
| OperatingSystemRecoveryConfiguration | 操作系統復原設定 |
| OptionalFeature | 選擇性功能 |
| 作業系統 | 操作系統的基本資訊 |
| PageFileSetting | 頁面檔案設定 |
| ParallelPort | 平行埠 |
| Partition | 磁碟分區 |
| PCMCIAController | PCMCIA 控制器 |
| PhysicalDisk | PhysicalDisk |
| PhysicalMemory | 物理記憶體 |
| PNPDEVICEDRIVER | PNP 設備驅動器 |
| PointingDevice | 指向裝置 |
| PortableBattery | 可攜式電池 |
| 連接埠 | 連接埠 |
| PowerCapabilities | 電源功能 |
| PowerClientOptOutSettings | 電源管理排除設定 |
| PowerConfigurations | 電源組態 |
| PowerManagementDaily | 電源管理每日數據 |
| PowerManagementInsomniaReasons | 電源失眠原因 |
| PowerManagementMonthly | 電源管理每月數據 |
| PowerSettings | 電源設定 |
| PrinterConfiguration | 列印機組態 |
| PrinterDevice | 印表機裝置 |
| PrintJobs | 列印作業 |
| 程序 | 操作系統上的進程 |
| ProcessModule () | 由指定進程載入的模組 |
| 處理器 | 處理器 |
| ProtectedVolumeInformation | 受保護的磁碟區資訊 |
| Protocol (通訊協定) | Protocol (通訊協定) |
| QuickFixEngineering | 快速修正工程 |
| 登錄 | 特定登錄機碼 的所有值從 2107 版開始,金鑰值已新增至登錄 () 實體 |
| SCSIController | SCSI 控制器 |
| SerialPortConfiguration | 序列埠組態 |
| SerialPorts | 序列埠 |
| ServerFeature | 伺服器功能 |
| 服務 | 執行 Windows 之電腦系統上的服務 |
| 服務 | 服務 |
| 股票 | 股票 |
| SMBConfig | 裝置的SMB設定 |
| SMSAdvancedClientPorts | Configuration Manager 用戶端埠 |
| SMSAdvancedClientSSLConfigurations | Configuration Manager 用戶端 SSL 組態 |
| SMSAdvancedClientState | Configuration Manager 客戶端狀態 |
| SMSDefaultBrowser | 默認瀏覽器 |
| SMSSoftwareTag | 軟體標籤 |
| SMSWindows8Application | Windows 應用程式 |
| SMSWindows8ApplicationUserInfo | Windows 應用程式用戶資訊 |
| SoftwareShortcut | 軟體快捷方式 |
| SoftwareUpdate | 適用於但未安裝在裝置上的軟體更新 |
| SoundDevices | 音效裝置 |
| SWLicensingProduct | 軟體授權產品 |
| SWLicensingService | 軟體授權服務 |
| SystemAccount | 系統帳戶 |
| SystemBootData | 系統開機數據 |
| SystemBootSummary | 系統開機摘要 |
| SystemConsoleUsage | 系統主控台使用方式 |
| SystemConsoleUser | 系統主控台使用者 |
| SystemDevices | 系統裝置 |
| SystemDrivers | 系統驅動程式 |
| SystemEnclosure | 系統機箱 |
| TapeDrive | 磁帶機 |
| TimeZone | 時區 |
| TPM | TPM |
| TPMStatus | TPM 狀態 |
| TSIssuedLicense | TS 發行的授權 |
| TSLicenseKeyPack | TS 授權金鑰套件 |
| UninterruptiblePowerSupply | 不間斷電源供應器 |
| USBController | USB 控制器 |
| USBDevice | USB 裝置 |
| 使用者 | 與裝置有作用中連線的用戶帳戶 |
| USMFolderRedirectionHealth | 資料夾重新導向健康情況 |
| USMUserProfile | 使用者配置檔健康情況 |
| VideoController | 視訊控制器 |
| VirtualMachine | 虛擬機器 |
| VirtualMachine64 | 虛擬機 (64) |
| 卷冊 | 卷冊 |
| WindowsUpdate | Windows Update |
| WindowsUpdateAgentVersion | Windows Update 代理程式版本 |
| WinEvent () | 默認會從 Windows 事件記錄檔 (24 小時內) 的事件 |
| WriteFilterState | 寫入篩選條件狀態 |
數據表運算子
數據表運算子可以用來篩選、摘要和轉換數據流。 目前支援下列運算子:
| 數據表運算子 | 描述 |
|---|---|
| Count | 傳回包含記錄數目的單一記錄的數據表 |
| 不同 | 產生具有輸入數據表所提供數據行之相異組合的數據表 |
| 加入 | 藉由比對相同裝置的數據列,合併兩個數據表的數據列以形成新的數據表 |
| order by | 依一或多個數據行順序排序輸入數據表的數據列 |
| 專案 | 選取要包含、重新命名或卸除的數據行,然後插入新的計算數據行 |
| 拿 | 最多傳回指定的數據列數目 |
| top | 傳回依指定數據行排序的前 N 筆記錄 |
| 哪裡 | 將數據表篩選為滿足述詞的數據列子集 |
純量運算子
下表摘要說明運算子:
| 運算子 | 描述 | 範例 |
|---|---|---|
| == | 平等 | 1 == 1, 'aBc' == 'AbC' |
| != | 不等於 | 1 != 2, 'abc' != 'abcd' |
| < | 少 | 1 < 2, 'abc' < 'DEF' |
| > | 大 | 2 > 1, 'xyz' > 'XYZ' |
| <= | 小於或等於 | 1 <= 2, 'abc' <= 'abc' |
| >= | 大於或等於 | 2 >= 1, 'abc' >= 'ABC' |
| + | 新增 | 2 + 1, now() + 1d |
| - | Subtract | 2 - 1, now() - 1h |
| * | 乘 | 2 * 2 |
| / | 分 | 2 / 1 |
| % | 模 | 2 % 1 |
| 按讚 | 左側 (LHS) 包含與右側 (RHS) | 'abc' like '%B%' |
| !喜歡 | LHS 不包含 RHS 的相符專案 | 'abc' !like '_d_' |
| 包含 | RHS 會以 LHS 的子序列發生 | 'abc' contains 'b' |
| !包含 | RHS 不會在 LHS 中發生 | 'team' !contains 'i' |
| startswith | RHS 是 LHS 的初始子序列 | 'team' startswith 'tea' |
| !startswith | RHS 不是 LHS 的初始子序列 | 'abc' !startswith 'bc' |
| endswith | RHS 是 LHS 的結尾子序列 | 'abc' endswith 'bc' |
| !endswith | RHS 不是 LHS 的結尾子序列 | 'abc' !endswith 'a' |
| 及 | 只有在 RHS 和 LHS 為 true 時才為 True | (1 == 1) and (2 == 2) |
| 或 | 只有在 RHS 或 LHS 為 true 時才為 True | (1 == 1) or (1 == 2) |
匯總函式
匯總函數可以與 summarize 數據表運算元搭配使用,以計算摘要值。 目前支援下列匯總函數:
| 函數 | 描述 |
|---|---|
| 平均 () | 傳回整個群組中值的平均值 |
| count () | 傳回每個摘要群組的記錄計數 |
| countif () | 傳回述詞評估為 true 的數據列計數 |
| dcount () | 傳回群組中相異值的數目 |
| 最大 () | 傳回整個群組的最大值 |
| maxif () | 從 2107 版開始,您可以使用 maxif 搭配 summarize 數據表運算符。
傳回述 詞 評估 true為之群組的最大值。 |
| min () | 傳回整個群組的最小值 |
| minif () | 從 2107 版開始,您可以使用 minif 搭配 summarize 數據表運算符。
傳回述 詞 評估 true為之群組的最小值。 |
| 百分位數 () | 傳回 Expr 所定義母體中指定最接近排名百分位數的估計值 |
| 總和 () | 傳回整個群組的值總和 |
| sumif () | 傳回述詞評估為 true 的 Expr 總和 |
純量函式
純量函式可用於表達式。 目前支援下列純量函式:
| 函數 | 描述 |
|---|---|
| ago () | 從目前的UTC時鐘時間減去指定的時間範圍 |
| bin () | 將值無條件舍去為指定間隔大小的 datetime 倍數 |
| 案例 () | 評估述詞清單,並傳回第一個符合述詞的結果表達式 |
| datetime_add () | 從指定的 datepart 計算新的日期時間乘以指定的數量,新增至指定的 datetime |
| datetime_diff () | 計算兩個日期時間值之間的差異 |
| iif () | 評估第一個自變數,並傳回第二個或第三個自變數的值,視述詞評估為 true (秒) 或 false (第三個) |
| indexof () | 函式會報告輸入字串內第一次出現指定字串之以零起始的索引 |
| isotnull () | 評估其唯一自變數,並傳回布爾值,指出自變數是否評估為非 Null 值 |
| isnull () | 評估其唯一自變數,並傳回布爾值,指出自變數是否評估為 Null 值 |
| 現在 () | 傳回目前的UTC時鐘時間 |
| strcat () | 串連 1 到 64 個自變數 |
| strlen () | 傳回輸入字串的長度,以字元為單位 |
| 子字串 () | 從某個索引到字串結尾的來源字串擷取子字串 |
| tostring () | 將輸入轉換成字串表示 |
Configuration Manager 中 CMPivot 的其他實體、運算符和函式
重要事項
當您從 Microsoft Intune 系統管理中心執行 CMPivot 時,不支援這些專案。
| 類型 | 項目 | 描述 |
|---|---|---|
| 實體 | AccountSID | 帳戶 SID |
| 實體 | FileContent () | 特定檔案的內容 |
| 實體 | NAPClient | NAP 用戶端 |
| 實體 | NAPSystemHealthAgent | NAP 系統健康情況代理程式 |
| 實體 | RegistryKey () | 從 2107 版開始傳回符合指定表示式 (的所有登錄機碼) |
| 數據表運算子 | 呈現 | 將結果轉譯為圖形輸出 |
後續步驟
若要深入瞭解 CMPivot,請 參閱使用 CMPivot。