分享方式:


CMPivot 概觀

適用於:Configuration Manager (目前的分支)

CMPivot 可讓您快速評估環境中裝置的狀態,並採取動作。 當您輸入查詢時,CMPivot 會在所選取集合中所有目前連線的裝置上即時執行查詢。 然後可以篩選、分組及精簡傳回的數據,以回答商務問題、針對環境中的問題進行疑難解答,或回應安全性威脅。 如需使用 CMPivot 的詳細資訊,請 參閱使用 CMPivot

查詢

查詢可用來搜尋字詞、識別趨勢、分析模式,以及根據您的數據提供許多其他見解。 CMPivot 會針對表格式表達式語句使用 Azure Log Analytics 數據流模型的子集。 表格式表達式語句的一般結構是用戶端實體和表格式數據運算子的組合, (例如篩選和投影) 。 組合是由管道字元 (表示 |) ,提供語句一般形式,以可視化方式表示表格式數據從左至右的流程。 每個運算符都會接受「從管道」的表格式數據集,以及其他輸入 (包括從運算符主體) 的其他表格式數據集,然後發出表格式數據集給下一個運算符,如下所示: entity | operator1 | operator2 | ...

在下列範例中,實體 CCMRecentlyUsedApplications (最近使用的應用程式) 的參考,而運算符則是 (根據某個每筆記錄述詞篩選出其輸入記錄的位置) :

CCMRecentlyUsedApplications | where CompanyName like '%Microsoft%' | project CompanyName, ExplorerFileName, LastUsedTime, LaunchCount, FolderPath

實體

實體是可從客戶端查詢的物件。 我們目前支援下列實體:

實體 描述
AadStatus Microsoft Entra ID 的狀態
系統管理員 本機系統管理員群組的成員
AppCrash 最近的應用程式損毀報告
AppVClientApplication AppV 用戶端應用程式
AppVClientPackage AppV 用戶端套件
AutoStartSoftware 自動啟動的軟體,或緊接在操作系統之後
腳板 腳板
電池 電池
Bios 系統 BIOS 資訊
BitLocker BitLocker
BitLockerEncryptionDetails BitLocker 加密詳細數據
BitLockerPolicy BitLocker 原則
BootConfiguration 開機設定
BrowserHelperObject Browser Helper 物件
BrowserUsage 瀏覽器使用方式
CcmLog () 預設會從 Ccm 記錄檔) 24 小時內 (行
CCMRAX CCM_RAX
CCMRecentlyUsedApplications 最近使用的應用程式
CCMWebAppInstallInfo Web 應用程式
CDROM CDROM 磁碟驅動器
ClientEvents 用戶端事件
ComputerSystem 計算機系統
ComputerSystemEx 計算機系統 Ex
ComputerSystemProduct 計算機系統產品
ConnectedDevice 線上的裝置
連線 裝置中或裝置外的作用中 Tcp 連線
電腦 電腦
DesktopMonitor 桌面監視器
裝置 裝置的基本資訊
磁碟 執行 Windows 之電腦系統上的本機存放設備資訊
DMA DMA
DMAChannel DMA 通道
DriverVxD 驅動程式 - VxD
EmbeddedDeviceInformation 內嵌裝置資訊
環境 環境
EPStatus Cmdlet 所 Get-MpComputerStatus 收集電腦上的反惡意代碼軟體狀態。 在執行Defender的 Windows 10 和 Server 2016 或更新版本上支援。
EventLog () 根據預設,24 小時內的事件會從事件記錄檔) (
檔案 () 特定檔案的相關信息
FileShare 使用中檔案共享資訊
固件 固件
IDEController IDE 控制器
InstalledExecutable 已安裝的可執行檔
InstalledSoftware 安裝在裝置上的應用程式
IPConfig 取得網路設定,包括可用的介面、IP 位址和 DNS 伺服器
IRQTable IRQ 數據表
鍵盤 鍵盤
LoadOrderGroup 載入順序群組
LogicalDisk 邏輯磁碟
MDMDevDetail 裝置資訊
記憶體 記憶體
數據機 數據機
母板 母板
NetworkAdapter 網路配接器
NetworkAdapterConfiguration 網路配接器設定
NetworkClient 網路用戶端
NetworkLoginProfile 網路登入配置檔
NTEventlogFile NT 事件記錄檔
Office365ProPlusConfigurations Office 365 Apps 設定
OfficeAddin Office 載入宏
OfficeClientMetric Office 用戶端計量
OfficeDeviceSummary Office 裝置摘要
OfficeDocumentMetric Office 文件計量
OfficeDocumentSolution Office 文件解決方案
OfficeMacroError Office 宏錯誤
OfficeProductInfo Office 產品資訊
OfficeVbaRuleViolation Office Vba 規則違規
OfficeVbaSummary Office VBA 掃描摘要
OperatingSystem 作業系統
OperatingSystemEx 操作系統 Ex
OperatingSystemRecoveryConfiguration 操作系統復原設定
OptionalFeature 選擇性功能
作業系統 操作系統的基本資訊
PageFileSetting 頁面檔案設定
ParallelPort 平行埠
Partition 磁碟分區
PCMCIAController PCMCIA 控制器
PhysicalDisk PhysicalDisk
PhysicalMemory 物理記憶體
PNPDEVICEDRIVER PNP 設備驅動器
PointingDevice 指向裝置
PortableBattery 可攜式電池
連接埠 連接埠
PowerCapabilities 電源功能
PowerClientOptOutSettings 電源管理排除設定
PowerConfigurations 電源組態
PowerManagementDaily 電源管理每日數據
PowerManagementInsomniaReasons 電源失眠原因
PowerManagementMonthly 電源管理每月數據
PowerSettings 電源設定
PrinterConfiguration 列印機組態
PrinterDevice 印表機裝置
PrintJobs 列印作業
程序 操作系統上的進程
ProcessModule () 由指定進程載入的模組
處理器 處理器
ProtectedVolumeInformation 受保護的磁碟區資訊
Protocol (通訊協定) Protocol (通訊協定)
QuickFixEngineering 快速修正工程
登錄 特定登錄機碼

的所有值從 2107 版開始,金鑰值已新增至登錄 () 實體
SCSIController SCSI 控制器
SerialPortConfiguration 序列埠組態
SerialPorts 序列埠
ServerFeature 伺服器功能
服務 執行 Windows 之電腦系統上的服務
服務 服務
股票 股票
SMBConfig 裝置的SMB設定
SMSAdvancedClientPorts Configuration Manager 用戶端埠
SMSAdvancedClientSSLConfigurations Configuration Manager 用戶端 SSL 組態
SMSAdvancedClientState Configuration Manager 客戶端狀態
SMSDefaultBrowser 默認瀏覽器
SMSSoftwareTag 軟體標籤
SMSWindows8Application Windows 應用程式
SMSWindows8ApplicationUserInfo Windows 應用程式用戶資訊
SoftwareShortcut 軟體快捷方式
SoftwareUpdate 適用於但未安裝在裝置上的軟體更新
SoundDevices 音效裝置
SWLicensingProduct 軟體授權產品
SWLicensingService 軟體授權服務
SystemAccount 系統帳戶
SystemBootData 系統開機數據
SystemBootSummary 系統開機摘要
SystemConsoleUsage 系統主控台使用方式
SystemConsoleUser 系統主控台使用者
SystemDevices 系統裝置
SystemDrivers 系統驅動程式
SystemEnclosure 系統機箱
TapeDrive 磁帶機
TimeZone 時區
TPM TPM
TPMStatus TPM 狀態
TSIssuedLicense TS 發行的授權
TSLicenseKeyPack TS 授權金鑰套件
UninterruptiblePowerSupply 不間斷電源供應器
USBController USB 控制器
USBDevice USB 裝置
使用者 與裝置有作用中連線的用戶帳戶
USMFolderRedirectionHealth 資料夾重新導向健康情況
USMUserProfile 使用者配置檔健康情況
VideoController 視訊控制器
VirtualMachine 虛擬機器
VirtualMachine64 虛擬機 (64)
卷冊 卷冊
WindowsUpdate Windows Update
WindowsUpdateAgentVersion Windows Update 代理程式版本
WinEvent () 默認會從 Windows 事件記錄檔 (24 小時內) 的事件
WriteFilterState 寫入篩選條件狀態

數據表運算子

數據表運算子可以用來篩選、摘要和轉換數據流。 目前支援下列運算子:

數據表運算子 描述
Count 傳回包含記錄數目的單一記錄的數據表
不同 產生具有輸入數據表所提供數據行之相異組合的數據表
加入 藉由比對相同裝置的數據列,合併兩個數據表的數據列以形成新的數據表
order by 依一或多個數據行順序排序輸入數據表的數據列
專案 選取要包含、重新命名或卸除的數據行,然後插入新的計算數據行
最多傳回指定的數據列數目
top 傳回依指定數據行排序的前 N 筆記錄
哪裡 將數據表篩選為滿足述詞的數據列子集

純量運算子

下表摘要說明運算子:

運算子 描述 範例
== 平等 1 == 1, 'aBc' == 'AbC'
!= 不等於 1 != 2, 'abc' != 'abcd'
< 1 < 2, 'abc' < 'DEF'
> 2 > 1, 'xyz' > 'XYZ'
<= 小於或等於 1 <= 2, 'abc' <= 'abc'
>= 大於或等於 2 >= 1, 'abc' >= 'ABC'
+ 新增 2 + 1, now() + 1d
- Subtract 2 - 1, now() - 1h
* 2 * 2
/ 2 / 1
% 2 % 1
按讚 左側 (LHS) 包含與右側 (RHS) 'abc' like '%B%'
!喜歡 LHS 不包含 RHS 的相符專案 'abc' !like '_d_'
包含 RHS 會以 LHS 的子序列發生 'abc' contains 'b'
!包含 RHS 不會在 LHS 中發生 'team' !contains 'i'
startswith RHS 是 LHS 的初始子序列 'team' startswith 'tea'
!startswith RHS 不是 LHS 的初始子序列 'abc' !startswith 'bc'
endswith RHS 是 LHS 的結尾子序列 'abc' endswith 'bc'
!endswith RHS 不是 LHS 的結尾子序列 'abc' !endswith 'a'
只有在 RHS 和 LHS 為 true 時才為 True (1 == 1) and (2 == 2)
只有在 RHS 或 LHS 為 true 時才為 True (1 == 1) or (1 == 2)

匯總函式

匯總函數可以與 summarize 數據表運算元搭配使用,以計算摘要值。 目前支援下列匯總函數:

函數 描述
平均 () 傳回整個群組中值的平均值
count () 傳回每個摘要群組的記錄計數
countif () 傳回述詞評估為 true 的數據列計數
dcount () 傳回群組中相異值的數目
最大 () 傳回整個群組的最大值
maxif () 從 2107 版開始,您可以使用 maxif 搭配 summarize 數據表運算符。

傳回述 評估 true為之群組的最大值。
min () 傳回整個群組的最小值
minif () 從 2107 版開始,您可以使用 minif 搭配 summarize 數據表運算符。

傳回述 評估 true為之群組的最小值。
百分位數 () 傳回 Expr 所定義母體中指定最接近排名百分位數的估計值
總和 () 傳回整個群組的值總和
sumif () 傳回述詞評估為 true 的 Expr 總和

純量函式

純量函式可用於表達式。 目前支援下列純量函式:

函數 描述
ago () 從目前的UTC時鐘時間減去指定的時間範圍
bin () 將值無條件舍去為指定間隔大小的 datetime 倍數
案例 () 評估述詞清單,並傳回第一個符合述詞的結果表達式
datetime_add () 從指定的 datepart 計算新的日期時間乘以指定的數量,新增至指定的 datetime
datetime_diff () 計算兩個日期時間值之間的差異
iif () 評估第一個自變數,並傳回第二個或第三個自變數的值,視述詞評估為 true (秒) 或 false (第三個)
indexof () 函式會報告輸入字串內第一次出現指定字串之以零起始的索引
isotnull () 評估其唯一自變數,並傳回布爾值,指出自變數是否評估為非 Null 值
isnull () 評估其唯一自變數,並傳回布爾值,指出自變數是否評估為 Null 值
現在 () 傳回目前的UTC時鐘時間
strcat () 串連 1 到 64 個自變數
strlen () 傳回輸入字串的長度,以字元為單位
子字串 () 從某個索引到字串結尾的來源字串擷取子字串
tostring () 將輸入轉換成字串表示

Configuration Manager 中 CMPivot 的其他實體、運算符和函式

重要事項

當您從 Microsoft Intune 系統管理中心執行 CMPivot 時,不支援這些專案。

類型 項目 描述
實體 AccountSID 帳戶 SID
實體 FileContent () 特定檔案的內容
實體 NAPClient NAP 用戶端
實體 NAPSystemHealthAgent NAP 系統健康情況代理程式
實體 RegistryKey () 從 2107 版開始傳回符合指定表示式 (的所有登錄機碼)
數據表運算子 呈現 將結果轉譯為圖形輸出

後續步驟

若要深入瞭解 CMPivot,請 參閱使用 CMPivot