CMPivot 概述
适用于: Configuration Manager(current branch)
CMPivot 允许快速评估环境中设备的状态并采取措施。 输入查询时,CMPivot 将在所选集合中当前连接的所有设备上实时运行查询。 然后,可以对返回的数据进行筛选、分组和优化,以回答业务问题、解决环境中的问题或响应安全威胁。 有关使用 CMPivot 的详细信息,请参阅 使用 CMPivot。
查询
查询可用于搜索字词、识别趋势、分析模式,以及根据数据提供许多其他见解。 CMPivot 将 Azure Log Analytics 数据流模型的子集用于表格表达式语句。 表格表达式语句的典型结构是由客户端实体和表格数据运算符组成的, (例如筛选器和投影) 。 合成由管道字符表示 (|) ,为 语句提供一种从左到右直观地表示表格数据流的常规形式。 每个运算符接受“来自管道”的表格数据集,其他输入 (包括运算符正文) 的其他表格数据集,然后将表格数据集发出给下一个运算符,如下所示: entity | operator1 | operator2 | ...
在以下示例中,实体 CCMRecentlyUsedApplications (对最近使用的应用程序) 的引用,运算符是 (根据某些按记录谓词) 从其输入中筛选出记录的位置:
CCMRecentlyUsedApplications | where CompanyName like '%Microsoft%' | project CompanyName, ExplorerFileName, LastUsedTime, LaunchCount, FolderPath
实体
实体是从客户端查询的对象。 我们目前支持以下实体:
| Entity | 说明 |
|---|---|
| AadStatus | Microsoft Entra ID 的状态 |
| 管理员 | 本地管理员组的成员 |
| AppCrash | 最近的应用程序崩溃报告 |
| AppVClientApplication | AppV 客户端应用程序 |
| AppVClientPackage | AppV 客户端包 |
| AutoStartSoftware | 自动启动的软件,或紧接在操作系统之后启动 |
| 脚板 | 脚板 |
| 电池 | 电池 |
| Bios | 系统 BIOS 信息 |
| BitLocker | BitLocker |
| BitLockerEncryptionDetails | BitLocker 加密详细信息 |
| BitLockerPolicy | BitLocker 策略 |
| BootConfiguration | 启动配置 |
| BrowserHelperObject | 浏览器帮助程序对象 |
| BrowserUsage | 浏览器使用情况 |
| CcmLog () | 默认情况下, (24 小时内的行从 Ccm 日志文件) |
| CCMRAX | CCM_RAX |
| CCMRecentlyUsedApplications | 最近使用的应用程序 |
| CCMWebAppInstallInfo | Web 应用程序 |
| CDROM | CDROM 驱动器 |
| ClientEvents | 客户端事件 |
| ComputerSystem | 计算机系统 |
| ComputerSystemEx | 计算机系统 Ex |
| ComputerSystemProduct | 计算机系统产品 |
| ConnectedDevice | 连接的设备 |
| Connection | 进出设备的活动 Tcp 连接 |
| 桌面 | 桌面 |
| DesktopMonitor | 桌面监视器 |
| 设备 | 有关设备的基本信息 |
| 磁盘 | 运行 Windows 的计算机系统上的本地存储设备信息 |
| DMA | DMA |
| DMAChannel | DMA 通道 |
| DriverVxD | 驱动程序 - VxD |
| EmbeddedDeviceInformation | 嵌入式设备信息 |
| 环境 | 环境 |
| EPStatus | cmdlet 收集 Get-MpComputerStatus 的计算机上反恶意软件的状态。 在运行 defender 的 Windows 10 和 Server 2016 或更高版本上受支持。 |
| EventLog () | 默认情况下,24 小时内的事件 (从事件日志) |
| 文件 () | 有关特定文件的信息 |
| FileShare | 活动文件共享信息 |
| 固件 | 固件 |
| IDEController | IDE 控制器 |
| InstalledExecutable | 已安装可执行文件 |
| InstalledSoftware | 设备上安装的应用程序 |
| IPConfig | 获取网络配置,包括可用接口、IP 地址和 DNS 服务器 |
| IRQTable | IRQ 表 |
| Keyboard | Keyboard |
| LoadOrderGroup | 加载顺序组 |
| LogicalDisk | 逻辑磁盘 |
| MDMDevDetail | 设备信息 |
| 内存 | 内存 |
| 调制解调器 | 调制解调器 |
| 母板 | 母板 |
| NetworkAdapter | 网络适配器 |
| NetworkAdapterConfiguration | 网络适配器配置 |
| NetworkClient | 网络客户端 |
| NetworkLoginProfile | 网络登录配置文件 |
| NTEventlogFile | NT 事件日志文件 |
| Office365ProPlusConfigurations | Office 365 应用配置 |
| OfficeAddin | Office 外接程序 |
| OfficeClientMetric | Office 客户端指标 |
| OfficeDeviceSummary | Office 设备摘要 |
| OfficeDocumentMetric | Office 文档指标 |
| OfficeDocumentSolution | Office 文档解决方案 |
| OfficeMacroError | Office 宏错误 |
| OfficeProductInfo | Office 产品信息 |
| OfficeVbaRuleViolation | Office Vba 规则冲突 |
| OfficeVbaSummary | Office VBA 扫描摘要 |
| OperatingSystem | 操作系统 |
| OperatingSystemEx | 操作系统 Ex |
| OperatingSystemRecoveryConfiguration | 操作系统恢复配置 |
| OptionalFeature | 可选功能 |
| 操作系统 | 有关操作系统的基本信息 |
| PageFileSetting | 页面文件设置 |
| ParallelPort | 并行端口 |
| Partition | 磁盘分区 |
| PCMCIAController | PCMCIA 控制器 |
| PhysicalDisk | PhysicalDisk |
| PhysicalMemory | 物理内存 |
| PNPDEVICEDRIVER | PNP 设备驱动程序 |
| PointingDevice | 指针设备 |
| PortableBattery | 便携式电池 |
| 端口 | 端口 |
| PowerCapabilities | 电源功能 |
| PowerClientOptOutSettings | 电源管理排除设置 |
| PowerConfigurations | 电源配置 |
| PowerManagementDaily | 电源管理每日数据 |
| PowerManagementInsomniaReasons | 电源失眠原因 |
| PowerManagementMonthly | 电源管理每月数据 |
| PowerSettings | 电源设置 |
| PrinterConfiguration | 打印机配置 |
| PrinterDevice | 打印机设备 |
| PrintJobs | 打印作业 |
| 流程 | 操作系统上的进程 |
| ProcessModule () | 由指定进程加载的模块 |
| 处理器 | 处理器 |
| ProtectedVolumeInformation | 受保护的卷信息 |
| 协议 | 协议 |
| QuickFixEngineering | 快速修复工程 |
| 注册表 | 从版本 2107 开始,特定注册表项 的所有值都已添加到注册表 () 实体 |
| SCSIController | SCSI 控制器 |
| SerialPortConfiguration | 串行端口配置 |
| SerialPorts | 串行端口 |
| ServerFeature | 服务器功能 |
| 服务 | 运行 Windows 的计算机系统上的服务 |
| 服务 | 服务 |
| 股票 | 股票 |
| SMBConfig | 设备的 SMB 配置 |
| SMSAdvancedClientPorts | Configuration Manager 客户端端口 |
| SMSAdvancedClientSSLConfigurations | Configuration Manager 客户端 SSL 配置 |
| SMSAdvancedClientState | Configuration Manager 客户端状态 |
| SMSDefaultBrowser | 默认浏览器 |
| SMSSoftwareTag | 软件标记 |
| SMSWindows8Application | Windows 应用 |
| SMSWindows8ApplicationUserInfo | Windows 应用用户信息 |
| SoftwareShortcut | 软件快捷方式 |
| SoftwareUpdate | 适用于但未在设备上安装的软件更新 |
| SoundDevices | 声音设备 |
| SWLicensingProduct | 软件许可产品 |
| SWLicensingService | 软件许可服务 |
| SystemAccount | 系统帐户 |
| SystemBootData | 系统启动数据 |
| SystemBootSummary | 系统启动摘要 |
| SystemConsoleUsage | 系统控制台使用情况 |
| SystemConsoleUser | 系统控制台用户 |
| SystemDevices | 系统设备 |
| SystemDrivers | 系统驱动程序 |
| SystemEnclosure | 系统机箱 |
| TapeDrive | 磁带机 |
| TimeZone | 时区 |
| TPM | TPM |
| TPMStatus | TPM 状态 |
| TSIssuedLicense | TS 颁发的许可证 |
| TSLicenseKeyPack | TS 许可证密钥包 |
| UnintertiblePowerSupply | 不间断电源 |
| USBController | USB 控制器 |
| USBDevice | USB 设备 |
| 用户 | 与设备建立活动连接的用户帐户 |
| USMFolderRedirectionHealth | 文件夹重定向运行状况 |
| USMUserProfile | 用户配置文件运行状况 |
| VideoController | 视频控制器 |
| VirtualMachine | 虚拟机 |
| VirtualMachine64 | 虚拟机 (64) |
| 卷 | 卷 |
| WindowsUpdate | Windows 更新 |
| WindowsUpdateAgentVersion | Windows 更新代理版本 |
| WinEvent () | 默认情况下, (24 小时内的事件从 Windows 事件日志) |
| WriteFilterState | 写入筛选器状态 |
表运算符
表运算符可用于筛选、汇总和转换数据流。 目前支持以下运算符:
| 表运算符 | 说明 |
|---|---|
| count | 返回一个表,其中包含包含记录数的单个记录 |
| 不同 | 使用输入表提供的列的不同组合生成表 |
| 加入 | 合并两个表的行,通过匹配同一设备的行来形成新表 |
| order by | 按一列或多列对输入表的行进行排序 |
| 项目 | 选择要包含、重命名或删除的列,然后插入新的计算列 |
| 拿 | 返回最多指定的行数 |
| top | 返回按指定列排序的前 N 条记录 |
| 哪里 | 将表筛选为满足谓词的行子集 |
标量运算符
下表汇总了运算符:
| 运算符 | 说明 | 示例 |
|---|---|---|
| == | 等于 | 1 == 1, 'aBc' == 'AbC' |
| != | 不等于 | 1 != 2, 'abc' != 'abcd' |
| < | 少 | 1 < 2, 'abc' < 'DEF' |
| > | 大 | 2 > 1, 'xyz' > 'XYZ' |
| <= | 小于或等于 | 1 <= 2, 'abc' <= 'abc' |
| >= | 大于或等于 | 2 >= 1, 'abc' >= 'ABC' |
| + | 添加 | 2 + 1, now() + 1d |
| - | 减法 | 2 - 1, now() - 1h |
| * | 乘法 | 2 * 2 |
| / | 除法 | 2 / 1 |
| % | 模 | 2 % 1 |
| 喜欢 | 左侧 (LHS) 包含右侧 (RHS) | 'abc' like '%B%' |
| !喜欢 | LHS 不包含 RHS 的匹配项 | 'abc' !like '_d_' |
| contains | RHS 作为 LHS 的子序列出现 | 'abc' contains 'b' |
| !包含 | LHS 中不会出现 RHS | 'team' !contains 'i' |
| startswith | RHS 是 LHS 的初始子序列 | 'team' startswith 'tea' |
| !startswith | RHS 不是 LHS 的初始子序列 | 'abc' !startswith 'bc' |
| endswith | RHS 是 LHS 的结束子序列 | 'abc' endswith 'bc' |
| !endswith | RHS 不是 LHS 的结束子序列 | 'abc' !endswith 'a' |
| 和 | 仅当 RHS 和 LHS 为 true 时,才为 True | (1 == 1) and (2 == 2) |
| 或 | 如果且仅当 RHS 或 LHS 为 true 时,才为 True | (1 == 1) or (1 == 2) |
聚合函数
聚合函数可与 summarize table 运算符一起使用,以计算汇总值。 目前支持以下聚合函数:
| 功能 | 说明 |
|---|---|
| avg () | 返回组中值的平均值 |
| count () | 返回每个汇总组的记录计数 |
| countif () | 返回 Predicate 计算结果为 true 的行计数 |
| dcount () | 返回组中非重复值的数目 |
| max () | 返回组中的最大值 |
| maxif () | 从版本 2107 开始,可以将 maxif 与 summarize table 运算符配合使用。
返回 Predicate 计算 true结果为 的组的最大值。 |
| min () | 返回组中的最小值 |
| minif () | 从版本 2107 开始,可以将 minif 与 summarize table 运算符配合使用。
返回 Predicate 计算 true结果为 的组的最小值。 |
| 百分位 () | 返回 Expr 所定义总体的指定最接近排名百分位数的估计值 |
| sum () | 返回组中值的总和 |
| sumif () | 返回 Predicate 计算结果为 true 的 Expr 之和 |
标量函数
可以在表达式中使用标量函数。 目前支持以下标量函数:
| 功能 | 说明 |
|---|---|
| 以前 () | 从当前 UTC 时钟时间减去给定的时间跨度 |
| bin () | 将值向下舍入为给定箱大小的日期/时间倍数 |
| case () | 计算谓词列表,并返回满足谓词的第一个结果表达式 |
| datetime_add () | 从指定的日期部分乘以指定金额计算新的日期时间,并添加到指定的日期时间 |
| datetime_diff () | 计算两个日期时间值之间的差值 |
| iif () | 计算第一个参数并返回第二个或第三个参数的值,具体取决于谓词的计算结果为 true (第二个) 还是 false (第三个) |
| indexof () | 函数报告输入字符串中指定字符串的第一个匹配项的从零开始的索引 |
| isnotnull () | 计算其唯一参数并返回一个布尔值,该值指示参数的计算结果是否为非 null 值 |
| isnull () | 计算其唯一参数并返回一个布尔值,该值指示参数的计算结果是否为 null 值 |
| 现在 () | 返回当前 UTC 时钟时间 |
| strcat () | 连接 1 到 64 个参数 |
| strlen () | 返回输入字符串的长度(以字符为单位) |
| substring () | 从源字符串中提取从某个索引开始到字符串末尾的子字符串 |
| tostring () | 将输入转换为字符串表示形式 |
Configuration Manager 中 CMPivot 的其他实体、运算符和函数
重要
从 Microsoft Intune 管理中心运行 CMPivot 时,不支持这些项。
| 类型 | Item | 说明 |
|---|---|---|
| Entity | AccountSID | 帐户 SID |
| Entity | FileContent () | 特定文件的内容 |
| Entity | NAPClient | NAP 客户端 |
| Entity | NAPSystemHealthAgent | NAP 系统运行状况代理 |
| Entity | RegistryKey () | 返回与给定表达式匹配的所有注册表项, (从版本 2107 开始) |
| 表运算符 | 呈现 | 将结果呈现为图形输出 |
后续步骤
若要了解有关 CMPivot 的详细信息,请参阅 使用 CMPivot。