CMPivot 的變更
適用於:Configuration Manager (目前的分支)
使用下列資訊來瞭解在 Configuration Manager 版本之間對CMPivot所做的變更:
2107 版的 CMPivot 變更
簡化的 CMPivot 許可權需求
我們已簡化 CMPivot 許可權需求。 新的許可權適用于內部部署主控台中的 CMPivot 獨立和 CMPivot。 已進行下列變更:
CMPivot 不再需要 SMS 腳本 讀取權限
不需要 預設的範圍 許可權。
CMPivot 的一般改善
我們已對 CMPivot 進行下列改善:
- 已新增可搭配 summarize 運算子使用的maxif和minif匯總工具
- 查詢編輯器中查詢自動完成建議的改善
- 已將金鑰值新增至 登錄實體
- 已新增 RegistryKey 實體,以傳回符合指定運算式的所有登錄機碼
若要檢閱 Registry 和 RegistryKey 實體之間的差異,您可以使用下列範例:
// Change the path to match your desired registry hive query
Registry('hklm:\SOFTWARE\Microsoft\EnterpriseCertificates\Root\Certificates\*')
RegistryKey('hklm:\SOFTWARE\Microsoft\EnterpriseCertificates\Root\Certificates\*')
RegistryKey('hklm:\SOFTWARE\Microsoft\SMS\*')
Registry('hklm:\SOFTWARE\Microsoft\SMS\*')
2103 版的 CMPivot 變更
從 2103 版開始,已對 CMPivot 進行下列改善:
當結果太大時,警告訊息和匯出 CMPivot 資料選項
當結果太大時,會顯示下列警告訊息:
您的查詢傳回大量結果。 修改查詢以縮小結果範圍,或選取此橫幅以匯出結果。
此訊息會在下列案例中發生:
當結果大於 100,000 個數據格時。
- 例如,10,000 個裝置的警告閾值已達到, () 具有 10 個實體資料行的資料列。
- 在此情況下,您將可以選擇將結果匯出至
.csv
檔案
當要求從指定裝置傳回超過 128 KB 的資料時。
- 例如,
CcmLog('ciagent', 120d)
查詢記錄結果,而且可能超過 128 KB 的限制。 - 當結果超過 128 KB 時,您會收到警告,但您無法匯出它們,因為它們不會從用戶端傳回伺服器。
- 例如,
從 CMPivot 存取社群中樞中共用的熱門查詢
從 2103 版開始,您可以從內部部署 CMPivot 存取社群中樞中共用的前置 CMPivot 查詢。 CMPivot 使用者藉由使用由更廣泛的社群共用的預先建立 CMPivot 查詢,取得更多查詢的存取權。 內部部署 CMPivot 會存取社群中樞,並傳回最常下載的 CMPivot 查詢清單。 使用者可以檢閱熱門查詢、自訂它們,然後視需要執行。 這項改進可讓您更廣泛地選擇立即使用查詢,而不需要建構它們,也可讓您分享如何建置查詢以供未來參考的資訊。
注意事項
當您從 Configuration Manager 主控台執行 CMPivot 時,可以使用這些查詢。 它們尚未從 獨立 CMPivot取得。
必要條件:
- 符合所有 CMPivot 必要條件和許可權
- 啟用 社群中樞。 您不需要 GitHub 帳戶即可下載內容。
- 確認要針對社群中樞顯示哪些內容類別別
- 從 Configuration Manager主控台通知安裝 Microsoft Edge WebView2 擴充功能
使用 CMPivot 存取熱門社群中樞查詢
移至 [ 資產與相容性 ] 工作區,然後選取 [ 裝置集合] 節點 。
選取目標集合、目標裝置或裝置群組,然後選取功能 區中的 [啟動 CMPivot ] 以啟動工具。
使用功能表上的社群中樞圖示。
檢閱最常共用的 CMPivot 查詢清單。
選取其中一個最上層查詢,將它載入查詢窗格中。
視需要編輯 查詢 ,然後選取 [ 執行查詢]。
選擇性地選取資料夾圖示以存取您的最愛清單。 將原始查詢或編輯過的版本新增至我的最愛清單,以在稍後執行。 選取社群中樞圖示以搜尋另一個查詢。
讓 CMPivot 視窗保持開啟,以檢視來自用戶端的結果。 當您關閉 CMPivot 視窗時,會話已完成。 如果查詢已傳送,則用戶端仍會將狀態訊息回應傳送至伺服器。
2006 版的 CMPivot 變更
從 2006 版開始,已對 CMPivot 進行下列改善:
從管理主控台啟動的CMPivot 獨立和 CMPivot 已聚合。 當您從管理主控台啟動 CMPivot 時,它會使用與 CMPivot 獨立版相同的基礎技術來提供案例同位。
CMPivot 中鍵盤流覽的改善。
您可以從個別裝置或裝置節點中的多個裝置執行 CMPivot,而不需要選取裝置集合。 這項改善可讓身為技術服務人員角色的人員,更輕鬆地為預先建立集合外部的特定裝置建立 CMPivot 查詢。
- 選取裝置集合中的個別裝置或多重選取裝置,或選取 [啟動 CMPivot]。
在查詢清單檢視中傳回裝置時,您可以選取一或多個裝置上的 [裝置樞紐 ],然後在那些裝置上進行樞紐分析和查詢,以進一步鑽研。 這項變更可讓您鑽研,而不需要從原創組合查詢較大的一組裝置。 裝置樞紐已取代Pivot。
- 在現有的 CMPivot 作業中,從輸出中選取個別裝置或多重選取裝置。 使用 [裝置樞紐] 選項按一下滑鼠右鍵並進行 樞紐分析 。 此動作會啟動個別的 CMPivot 實例,範圍僅限您選取的裝置。 這可讓您更輕鬆地在所需的裝置上進行樞紐分析和查詢,而不需要為其建立集合。
當您針對個別裝置執行 CMPivot 時,裝置名稱會列在視窗頂端。 針對多個裝置,選取的裝置數目會列在視窗頂端。
已移除 [查詢摘要] 索引標籤中的 [ 建立集合 ] 選項,因為 CMPivot 不再需要查詢集合。 執行 裝置樞紐, 以開啟 CMPivot 的新實例,其範圍僅限您要查詢的裝置。 [建立集合 ] 仍可在主功能表上使用。
2002 版的 CMPivot 變更
我們讓您更輕鬆地流覽 CMPivot 實體。 從 Configuration Manager 2002 版開始,您可以搜尋 CMPivot 實體。 也新增了新的圖示,以輕鬆區分實體和實體物件類型。
1910 版的 CMPivot 變更
從 1910 版開始,CMPivot 已大幅優化,以減少伺服器上的網路流量和負載。 此外,已新增一些實體和實體增強功能,以協助進行疑難排解和搜捕。 1910 版的 CMPivot 引進了下列變更:
- CMPivot 引擎的優化
- 其他實體和實體增強功能:
- (WinEvent) 的 Windows 事件記錄檔
- FileContent (檔案內容)
- 進程 (ProcessModule) 載入的 Dll
- Microsoft Entra AADStatus) (資訊
- EPStatus (端點保護狀態)
- 使用 CMPivot 獨立版的本機裝置查詢評估
- CMPivot 的其他增強功能
CMPivot 引擎的優化
為了減少伺服器上的網路流量和負載,CMPivot 已在 1910 年優化。 許多查詢作業現在會直接在用戶端上執行,而不是在伺服器上執行。 這項變更也表示某些 CMPivot 作業會從第一個查詢傳回最少的資料。 如果您決定鑽研資料以取得詳細資訊,可能會執行新的查詢,以從用戶端擷取其他資料。 例如,先前當您執行「摘要計數」查詢時,會將大型資料集傳回伺服器。 傳回大型資料集時會立即向下切入,但許多時候只需要摘要的計數。 在 1910 年,當您選擇鑽研至特定用戶端時,會發生另一個資料集合,以傳回您要求的其他資料。 這項變更為大量用戶端的查詢帶來更好的效能和延展性。
範例
CMPivot 優化可大幅減少執行 CMPivot 查詢所需的網路和伺服器 CPU 負載。 透過這些優化,我們現在可以即時篩選 GB 的用戶端資料。 下列查詢說明這些優化:
搜尋企業中所有用戶端上的所有事件記錄檔,以取得驗證失敗。
EventLog('Security') | where EventID == 4673 | summarize count() by Device | order by count_ desc
依雜湊搜尋檔案。
Device | join kind=leftouter ( File('%windir%\\system32\\*.exe') | where SHA256Hash == 'A92056D772260B39A876D01552496B2F8B4610A0B1E084952FE1176784E2CE77') | project Device, MalwareFound = iif( isnull(FileName), 'No', 'Yes')
WinEvent (< logname > ,[ < timespan > ])
此實體可用來從事件記錄檔和事件追蹤記錄檔取得事件。 實體會從 Windows 事件記錄檔技術所產生的事件記錄檔取得資料。 實體也會取得 Windows 事件追蹤所產生的記錄檔中的事件 (ETW) 。 WinEvent 會查看預設在過去 24 小時內發生的事件。 不過,可以藉由包含時間範圍來覆寫 24 小時預設值。
WinEvent('Microsoft-Windows-HelloForBusiness/Operational', 1d)
| where LevelDisplayName =='Error'
| summarize count() by Device
FileContent (< 檔名 >)
FileContent 是用來取得文字檔的內容。
FileContent('c:\\windows\\SMSCFG.ini')
| where Content startswith 'SMS Unique Identifier='
| project Device, SMSId= substring(Content,22)
ProcessModule (< processname >)
此實體可用來列舉指定進程) 載入之 dll (模組。 在搜捕合法進程中隱藏的惡意程式碼時,ProcessModule 很有用。
ProcessModule('powershell')
| summarize count() by ModuleName
| order by count_ desc
AadStatus
此實體可用來從裝置取得目前Microsoft Entra識別資訊。
AadStatus
| project Device, IsAADJoined=iif( isnull(DeviceId),'No','Yes')
| summarize DeviceCount=count() by IsAADJoined
| render piechart
EPStatus
EPStatus 可用來取得電腦上安裝的反惡意程式碼軟體狀態。
EPStatus
| project Device, QuickScanAge=datetime_diff('day',now(),QuickScanEndTime)
| summarize DeviceCount=count() by QuickScanAge
| order by QuickScanAge
| render barchart
使用 CMPivot 獨立版的本機裝置查詢評估
在Configuration Manager主控台外部使用 CMPivot 時,您可以只查詢本機裝置,而不需要Configuration Manager基礎結構。 您現在可以利用 CMPivot Azure Log Analytics 查詢,快速檢視本機裝置上的 WMI 資訊。 這也可讓您先驗證和精簡 CMPivot 查詢,再于較大的環境中執行它們。 CMPivot 獨立版僅提供英文版。 如需 CMPivot 獨立部署的詳細資訊,請參閱 CMPivot 獨立部署。
本機裝置查詢評估的已知問題
- 如果您在此 電腦 上查詢您沒有存取權的 WMI 實體,例如鎖定的 WMI 類別,您可能會在 CMPivot 中看到當機。 使用具有較高許可權的帳戶來查詢這些實體,以執行 CMPivot。
- 如果您 在此電腦上查詢非 WMI 實體,您會看到 不正確命名空間 或模棱兩可的例外狀況。
- 從 [開始] 功能表快捷方式獨立執行 CMPivot,而不是直接從可執行檔的路徑執行。
其他增強功能
您可以使用 new
like
運算子來執行正則運算式類型查詢。 例如://Find BIOS manufacture that contains any word like Micro, such as Microsoft Bios | where Manufacturer like '%Micro%'
我們已更新 CcmLog () 和 EventLog () 實體,預設只會查看過去 24 小時內的訊息。 您可以藉由傳入選擇性的時間範圍來覆寫此行為。 例如,下列查詢會查看過去 1 小時內的事件:
CcmLog('Scripts',1h)
File () 實體已更新為收集隱藏和系統檔案的相關資訊,並包含 MD5 雜湊。 雖然 MD5 雜湊不如 SHA256 雜湊精確,但它通常是大多數惡意程式碼公告中經常報告的雜湊。
您可以在查詢中新增批註。 此行為在共用查詢時很有用。 例如:
//Get the top ten devices sorted by user Device | top 10 by UserName
CMPivot 會自動連線到最後一個網站。 啟動 CMPivot 之後,您可以視需要連線到新網站。
從 [ 匯出] 功能表中,選取 [ 查詢] 剪貼簿連結的新選項。 此動作會將連結複製到您可以與其他人共用的剪貼簿。 例如:
cmpivot:Ly8gU2FtcGxlIHF1ZXJ5DQpPcGVyYXRpbmdTeXN0ZW0NCnwgc3VtbWFyaXplIGNvdW50KCkgYnkgQ2FwdGlvbg0KfCBvcmRlciBieSBjb3VudF8gYXNjDQp8IHJlbmRlciBiYXJjaGFydA==
此連結會使用下列查詢開啟 CMPivot 獨立式:
// Sample query OperatingSystem | summarize count() by Caption | order by count_ asc | render barchart
提示
若要讓此連結能夠運作, 請安裝 CMPivot 獨立部署。
在查詢結果中,如果裝置已在適用於端點的 Microsoft Defender中註冊,請以滑鼠右鍵按一下裝置,以啟動Microsoft Defender 資訊安全中心線上入口網站。
1910 版中 CMPivot 的已知問題
- 達到限制時,可能不會顯示最大結果橫幅。
- 每個用戶端每個查詢的資料量限制為 128 KB。
- 如果查詢結果超過 128 KB,可能會截斷結果。
1906 版的 CMPivot 變更
從 1906 版開始,下列專案已新增至 CMPivot:
在 CMPivot 中新增聯結、其他運算子和匯總工具
您現在有額外的算術運算子、匯總工具,以及新增查詢聯結的能力,例如同時使用登錄和檔案。 已新增下列專案:
資料表運算子
資料表運算子 | 描述 |
---|---|
加入 | 藉由比對相同裝置的資料列,合併兩個數據表的資料列以形成新的資料表 |
呈現 | 將結果轉譯為圖形輸出 |
CMPivot 中已經有轉譯運算子。 已新增多個數列和 with 語句的支援。 如需詳細資訊,請參閱 範例 一節和 Kusto 的 聯結運算子 一文。
聯結的限制
- 聯結資料行一律會在 [ 裝置 ] 欄位上隱含完成。
- 每個查詢最多可以使用 5 個聯結。
- 您最多可以使用 64 個合併的資料行。
純量運算子
運算子 | 描述 | 範例 |
---|---|---|
+ | 新增 | 2 + 1, now() + 1d |
- | Subtract | 2 - 1, now() - 1d |
* | 乘 | 2 * 2 |
/ | 劃分 | 2 / 1 |
% | 模 | 2 % 1 |
匯總函式
函數 | 描述 |
---|---|
percentile () | 傳回 Expr 所定義母體中指定最接近排名百分位數的估計值 |
sumif () | 傳回述詞評估為 true 的 Expr 總和 |
純量函式
函數 | 描述 |
---|---|
case () | 評估述詞清單,並傳回第一個符合述詞的結果運算式 |
iff () | 評估第一個引數,並傳回第二個或第三個引數的值,視述詞評估為 true (秒) 或 false (第三個) |
indexof () | 函式會報告輸入字串內第一次出現指定字串之以零起始的索引 |
strcat () | 串連 1 到 64 個引數 |
strlen () | 傳回輸入字串的長度,以字元為單位 |
substring () | 從某個索引到字串結尾的來源字串擷取子字串 |
tostring () | 將輸入轉換成字串作業 |
範例
顯示裝置、製造商、型號和 OSVersion:
ComputerSystem | project Device, Manufacturer, Model | join (OperatingSystem | project Device, OSVersion=Caption)
顯示裝置的開機時間圖表:
SystemBootData | where Device == 'MyDevice' | project SystemStartTime, BootDuration, OSStart=EventLogStart, GPDuration, UpdateDuration | order by SystemStartTime desc | render barchart with (kind=stacked, title='Boot times for MyDevice', ytitle='Time (ms)')
已將 CMPivot 許可權新增至安全性系統管理員角色
從 1906 版開始,已將下列許可權新增至Configuration Manager的內建安全性系統管理員角色:
- 在 SMS 腳本上讀取
- 在集合上執行CMPivot
- 在 清查報表上讀取
注意事項
執行腳本 是執行 CMPivot 許可權的超級集合。
CMPivot 獨立
您可以使用 CMPivot 作為獨立應用程式。 CMPivot 獨立版僅提供英文版。 在Configuration Manager主控台外部執行 CMPivot,以檢視環境中裝置的即時狀態。 這項變更可讓您在裝置上使用 CMPivot,而不需要先安裝主控台。
您可以與其他角色共用 CMPivot 的功能,例如技術服務人員或安全性系統管理員,這些人員的電腦上沒有安裝主控台。 這些其他角色可以使用 CMPivot 來查詢Configuration Manager以及他們傳統上使用的其他工具。 藉由共用這項豐富的管理資料,您可以共同合作,主動解決跨角色的商務問題。
安裝 CMPivot 獨立
設定執行 CMPivot 所需的許可權。 如需詳細資訊,請參閱 必要條件。 如果許可權適合使用者,您也可以使用安全性系統 管理員角色 。
在下列路徑中尋找 CMPivot 應用程式安裝程式:
<site install path>\tools\CMPivot\CMPivot.msi
。 您可以從該路徑執行它,或將它複製到另一個位置。當您執行 CMPivot 獨立應用程式時,系統會要求您連線到網站。 指定管理中心或主要月臺伺服器的完整功能變數名稱或電腦名稱稱。
- 每次開啟 CMPivot 獨立時,系統都會提示您連線到月臺伺服器。
流覽至您要執行 CMPivot 的集合,然後執行查詢。
注意事項
- CMPivot 獨立版無法使用滑鼠右鍵的動作,例如執行 腳本、 資源總管和 Web 搜尋。 CMPivot 獨立版的主要用途是從Configuration Manager基礎結構獨立查詢。 為了協助安全性系統管理員,CMPivot 獨立部署包含連線到Microsoft Defender 資訊安全中心的能力。
- 您可以 使用 CMPivot 獨立執行本機裝置查詢評估。
1902 版的 CMPivot 變更
從 Configuration Manager 1902 版開始,您可以從管理中心網站執行 CMPivot (階層中的 CAS) 。 主要月臺仍會處理與用戶端的通訊。 從管理中心網站執行 CMPivot 時,它會透過高速訊息訂用帳戶通道與主要月臺通訊。 此通訊不依賴月臺之間的標準SQL Server複寫。
當SQL Server或 SMS 提供者不在同一部電腦上或SQL Server Always On可用性群組設定時,在 CAS 上執行 CMPivot 需要額外的許可權。 透過這些遠端設定,您有 CMPivot 的「雙躍點案例」。
若要讓 CMPivot 在這類「雙躍點案例」中使用 CAS,您可以定義限制委派。 若要瞭解此設定的安全性含意,請閱讀 Kerberos 限制委派 一文。 Kerberos 需要在機器之間完成所有躍點。 如果您有多個遠端組態,例如與 CAS 共置的SQL Server或 SMS 提供者,或多個信任的樹系,您可能需要許可權設定的組合。 以下是您可能需要採取的步驟:
CAS 具有遠端SQL Server
移至每個主要月臺的SQL Server。
- 將 CAS 遠端SQL Server和 CAS 月臺伺服器新增至Configmgr_DviewAccess群組。
移至 [Active Directory 消費者和電腦]。
- 針對每個主要月臺伺服器,以滑鼠右鍵按一下並選取 [ 屬性]。
- 在 [委派] 索引標籤中,選擇第三個選項 [ 信任這台電腦僅委派給指定的服務]。
- 選擇 [ 僅使用 Kerberos]。
- 使用埠和實例新增 CAS 的SQL Server服務。
- 請確定這些變更符合您的公司安全性原則!
- 針對 CAS 網站,以滑鼠右鍵按一下並選取 [ 屬性]。
- 在 [委派] 索引標籤中,選擇第三個選項 [ 信任這台電腦僅委派給指定的服務]。
- 選擇 [ 僅使用 Kerberos]。
- 使用埠和實例新增每個主要月臺的SQL Server服務。
- 請確定這些變更符合您的公司安全性原則!
- 針對每個主要月臺伺服器,以滑鼠右鍵按一下並選取 [ 屬性]。
CAS 具有遠端提供者
- 移至每個主要月臺的SQL Server。
- 將 CAS 提供者電腦帳戶和 CAS 月臺伺服器新增至 Configmgr_DviewAccess 群組。
- 移至 [Active Directory 消費者和電腦]。
- 選取 CAS 提供者電腦,以滑鼠右鍵按一下並選取 [ 屬性]。
- 在 [委派] 索引標籤中,選擇第三個選項 [ 信任這台電腦僅委派給指定的服務]。
- 選擇 [ 僅使用 Kerberos]。
- 使用埠和實例新增每個主要月臺的SQL Server服務。
- 請確定這些變更符合您的公司安全性原則!
- 選取 CAS 月臺伺服器,以滑鼠右鍵按一下並選取 [ 屬性]。
- 在 [委派] 索引標籤中,選擇第三個選項 [ 信任這台電腦僅委派給指定的服務]。
- 選擇 [ 僅使用 Kerberos]。
- 使用埠和實例新增每個主要月臺的SQL Server服務。
- 請確定這些變更符合您的公司安全性原則!
- 選取 CAS 提供者電腦,以滑鼠右鍵按一下並選取 [ 屬性]。
- 重新開機 CAS 遠端提供者電腦。
SQL Server Always On可用性群組
- 移至每個主要月臺的SQL Server。
- 將 CAS 月臺伺服器新增至 Configmgr_DviewAccess 群組。
- 移至 [Active Directory 消費者和電腦]。
- 針對每個主要月臺伺服器,以滑鼠右鍵按一下並選取 [ 屬性]。
- 在 [委派] 索引標籤中,選擇第三個選項 [ 信任這台電腦僅委派給指定的服務]。
- 選擇 [ 僅使用 Kerberos]。
- 針對具有埠和實例的SQL Server節點,新增 CAS 的SQL Server服務帳戶。
- 請確定這些變更符合您的公司安全性原則!
- 選取 CAS 月臺伺服器,以滑鼠右鍵按一下並選取 [ 屬性]。
- 在 [委派] 索引標籤中,選擇第三個選項 [ 信任這台電腦僅委派給指定的服務]。
- 選擇 [ 僅使用 Kerberos]。
- 使用埠和實例新增每個主要月臺的SQL Server服務。
- 請確定這些變更符合您的公司安全性原則!
- 針對每個主要月臺伺服器,以滑鼠右鍵按一下並選取 [ 屬性]。
- 請確定已針對 CAS 接聽程式名稱和每個主要接聽程式名稱 發佈 SPN 。
- 重新開機主要SQL Server節點。
- 重新開機 CAS 月臺伺服器和 CAS SQL Server節點。
1810 版的 CMPivot 變更
CMPivot 包含從 Configuration Manager 1810 版開始的下列改善:
CMPivot 公用程式和效能
CMPivot 最多會傳回 100,000 個儲存格,而不是 20,000 個數據列。
- 如果實體有 5 個屬性,表示 5 個數據行,則最多會顯示 20,000 個數據列。
- 對於具有 10 個屬性的實體,最多會顯示 10,000 個數據列。
- 顯示的總數據將小於或等於 100,000 個儲存格。
在 [查詢摘要] 索引標籤上,選取 [失敗] 或 [離線裝置] 的計數,然後選取 [ 建立集合]選項。 此選項可讓您輕鬆地以具有補救部署的裝置為目標。
- 此選項已在 2006 版中移除,因為 CMPivot 不再需要查詢集合。
按一下資料夾圖示以儲存 我的最愛 查詢。
更新為 1810 版的用戶端會透過快速通道將小於 80 KB 的輸出傳回給月臺。
- 這項變更會增加檢視腳本或查詢輸出的效能。
- 如果腳本或查詢輸出大於 80 KB,用戶端會透過狀態訊息傳送資料。
- 如果用戶端未更新為 1810 用戶端版本,則會繼續使用狀態訊息。
當您啟動 CMPivot 時,可能會看到下列錯誤: 由於腳本版本不相容,您目前無法使用 CMPivot。此問題可能是因為階層正在升級月臺。等候升級完成,然後再試一次。
- 如果您看到此訊息,這可能表示:
- 安全性範圍未正確設定。
- 此程式中有升級的問題。
- 基礎 CMPivot 腳本不相容。
- 如果您看到此訊息,這可能表示:
純量函式
CMPivot 支援下列純量函式:
- ago () :從目前的 UTC 時鐘時間減去指定的時間範圍
- datetime_diff () :計算兩個日期時間值之間的行事曆差異
- now () :傳回目前的 UTC 時鐘時間
- bin () :將值無條件舍去為指定間隔大小的整數倍數
注意事項
datetime 資料類型代表時間的瞬間,通常以一天的日期和時程表示。 時間值的測量單位為 1 秒。 日期時間值一律位於 UTC 時區中。 一律以 ISO 8601 格式表示日期時間常值,例如 yyyy-mm-dd HH:MM:ss
範例
-
datetime(2015-12-31 23:59:59.9)
:特定日期時間常值 -
now()
:目前時間 -
ago(1d)
:目前時間減去一天
轉譯視覺效果
CMPivot 現在包含 KQL 轉 譯運算子的基本支援。 此支援包含下列類型:
- barchart:第一個資料行是 X 軸,而且可以是文字、日期時間或數值。 第二個數據行必須是數值,而且會顯示為水準帶狀。
- columNchart:如同橫條圖,具有垂直帶,而不是水準帶。
- piechart:第一個資料行是色彩軸,第二個數據行是數值。
- timechart:折線圖。 第一個資料行是 X 軸,而且應該是 datetime。 第二個數據行是 Y 軸。
範例:橫條圖
下列查詢會將最近使用的應用程式轉譯為橫條圖:
CCMRecentlyUsedApplications
| summarize dcount( Device ) by ProductName
| top 10 by dcount_
| render barchart
範例:時間圖表
若要轉譯時間圖表,請使用新的 bin () 運 算符來分組時間事件。 下列查詢顯示裝置在過去七天內啟動的時間:
OperatingSystem
| where LastBootUpTime <= ago(7d)
| summarize count() by bin(LastBootUpTime,1d)
| render timechart
範例:圓形圖
下列查詢會在圓形圖中顯示所有 OS 版本:
OperatingSystem
| summarize count() by Caption
| render piechart
硬體清查
使用 CMPivot 查詢任何硬體清查類別。 這些類別包含您對硬體清查所做的任何自訂延伸模組。 CMPivot 會立即從儲存在月臺資料庫中的最後一個硬體清查掃描傳回快取的結果。 同時,它會視需要使用來自任何線上用戶端的即時資料來更新結果。
結果資料表或圖表中資料的色彩飽和度會指出資料是即時還是快取。 例如,深藍色是來自線上用戶端的即時資料。 淺藍色是快取的資料。
範例
LogicalDisk
| summarize sum( FreeSpace ) by Device
| order by sum_ desc
| render columnchart
限制
- 不支援下列硬體清查實體:
- 陣列屬性,例如 IP 位址
- Real32/Real64
- 内嵌物件屬性
- 清查機構名稱必須以字元開頭
- 您無法藉由建立相同名稱的清查實體來覆寫內建實體
純量運算子
CMPivot 包含下列純量運算子:
注意事項
- LHS:運算子左邊的字串
- RHS:運算子右邊的字串
運算子 | 描述 | 範例 (會產生 true) |
---|---|---|
== | 等於 | "aBc" == "aBc" |
!= | 不等於 | "abc" != "ABC" |
按讚 | LHS 包含 RHS 的相符專案 | "FabriKam" like "%Brik%" |
!喜歡 | LHS 不包含 RHS 的相符專案 | "Fabrikam" !like "%xyz%" |
包含 | RHS 會以 LHS 的子序列發生 | "FabriKam" contains "BRik" |
!包含 | RHS 不會在 LHS 中發生 | "Fabrikam" !contains "xyz" |
startswith | RHS 是 LHS 的初始子序列 | "Fabrikam" startswith "fab" |
!startswith | RHS 不是 LHS 的初始子序列 | "Fabrikam" !startswith "kam" |
endswith | RHS 是 LHS 的結尾子序列 | "Fabrikam" endswith "Kam" |
!endswith | RHS 不是 LHS 的結尾子序列 | "Fabrikam" !endswith "brik" |
查詢摘要
選取 CMPivot 視窗底部的 [ 查詢摘要 ] 索引標籤。 此狀態可協助您識別離線的用戶端,或針對可能發生的錯誤進行疑難排解。 在 [計數] 資料行中選取值,以開啟具有該狀態的特定裝置清單。
例如,選取 [失敗] 狀態的裝置計數。 請參閱特定的錯誤訊息,並匯出這些裝置的清單。 如果錯誤是無法辨識特定 Cmdlet,請從匯出的裝置清單建立集合,以部署Windows PowerShell更新。
CMPivot 稽核狀態訊息
從 1810 版開始,當您執行 CMPivot 時,會使用 MessageID 40805建立稽核狀態訊息。 您可以移至 [監視>系統狀態> 消息查詢] 來檢視狀態消息。 您可以 執行特定使用者的所有稽核狀態訊息、 特定網站的所有稽核狀態訊息,或建立您自己的狀態訊息查詢。
訊息使用下列格式:
MessageId 40805:使用者 < 使用者名稱 > 已在集合集 > 合 < 識別碼上執行腳本 < Script-Guid > 與雜湊 < Script-Hash > 。
- 7DC6B6F1-E7F6-43C1-96E0-E1D16BC25C14 是 CMPivot 的 Script-Guid。
- 您可以在用戶端的 scripts.log 檔案中看到 Script-Hash。
- 您也可以查看儲存在用戶端腳本存放區中的雜湊。 用戶端上的檔案名是 < Script-Guid > _ < Script-Hash > 。
- 範例檔案名:C:\Windows\CCM\ScriptStore\7DC6B6F1-E7F6-43C1-96E0-E1D16BC25C14_abc1d23e45678901fabc123d456ce789fa1b2cd3e456789123fab4c56789d0123.ps