租使用者附加:CMPivot 使用量概觀
適用於:Configuration Manager (目前的分支)
CMPivot 可讓您快速評估環境中裝置的狀態,並採取動作。 當您輸入查詢時,CMPivot 會在目前連線的裝置上即時執行查詢。 然後可以篩選、分組及精簡傳回的資料,以回答商務問題、針對環境中的問題進行疑難排解,或回應安全性威脅。 如需使用 CMPivot 的詳細資訊,請 參閱使用 CMPivot。
精簡 CMPivot 查詢
從 Microsoft Intune 系統管理中心使用 CMPivot 時,請確定您的查詢已針對效能進行微調。 如果您要求的資料集太大的查詢,您可能會收到 Error: The query result is too large, retry with additional filters 。 如果您看到此錯誤,請將查詢精簡為更具體。 下列運算子通常用來精簡查詢:
- 如果您只需要傳回的專案數,請使用
count。 - 如果您只需要特定資料行,請使用
project。 - 使用
take最多可傳回指定的資料列數目。 - 使用
top傳回依指定資料行排序的前 N 筆記錄。
重要事項
使用 CMPivot 查詢裝置時,如果在 10 分鐘內沒有回應,查詢將會逾時。
查詢
查詢可用來搜尋字詞、識別趨勢、分析模式,以及根據您的資料提供許多其他見解。 CMPivot 會針對表格式運算式語句使用 Azure Log Analytics 資料流程模型的子集。 表格式運算式語句的一般結構是用戶端實體和表格式資料運算子的組合, (例如篩選和投影) 。 組合是由管道字元 (表示 |) ,提供語句一般形式,以視覺化方式表示表格式資料從左至右的流程。 每個運算子都會接受「從管道」的表格式資料集,以及其他輸入 (包括從運算子主體) 的其他表格式資料集,然後發出表格式資料集給下一個運算子,如下所示: entity | operator1 | operator2 | ...
在下列範例中,實體 CCMRecentlyUsedApplications (最近使用的應用程式) 的參考,而 運算子則是 (根據某個每筆記錄述詞篩選出其輸入記錄的位置) :
CCMRecentlyUsedApplications | where CompanyName like '%Microsoft%' | project CompanyName, ExplorerFileName, LastUsedTime, LaunchCount, FolderPath
實體
實體是可從用戶端查詢的物件。 我們目前支援下列實體:
| 實體 | 描述 |
|---|---|
| AadStatus | Microsoft Entra識別碼的狀態 |
| 系統管理員 | 本機系統管理員群組的成員 |
| AppCrash | 最近的應用程式損毀報告 |
| AppVClientApplication | AppV 用戶端應用程式 |
| AppVClientPackage | AppV 用戶端套件 |
| AutoStartSoftware | 自動啟動的軟體,或緊接在作業系統之後 |
| 腳板 | 腳板 |
| 電池 | 電池 |
| Bios | 系統 BIOS 資訊 |
| BitLocker | BitLocker |
| BitLockerEncryptionDetails | BitLocker 加密詳細資料 |
| BitLockerPolicy | BitLocker 原則 |
| BootConfiguration | 開機設定 |
| BrowserHelperObject | Browser Helper 物件 |
| BrowserUsage | 瀏覽器使用方式 |
| CcmLog () | 預設會從 Ccm 記錄檔) 24 小時內 (行 |
| CCMRAX | CCM_RAX |
| CCMRecentlyUsedApplications | 最近使用的應用程式 |
| CCMWebAppInstallInfo | Web 應用程式 |
| CDROM | CDROM 磁片磁碟機 |
| ClientEvents | 用戶端事件 |
| ComputerSystem | 電腦系統 |
| ComputerSystemEx | 電腦系統 Ex |
| ComputerSystemProduct | 電腦系統產品 |
| ConnectedDevice | 連線的裝置 |
| 連線 | 裝置中或裝置外的作用中 Tcp 連線 |
| 電腦 | 電腦 |
| DesktopMonitor | 桌面監視器 |
| 裝置 | 裝置的基本資訊 |
| 磁片 | 執行 Windows 之電腦系統上的本機存放裝置資訊 |
| Dma | Dma |
| DMAChannel | DMA 通道 |
| DriverVxD | 驅動程式 - VxD |
| EmbeddedDeviceInformation | 內嵌裝置資訊 |
| 環境 | 環境 |
| EPStatus | Cmdlet 所 Get-MpComputerStatus 收集電腦上的反惡意程式碼軟體狀態。 在執行 defender 的 Windows 10 和 Server 2016 或更新版本上提供支援。 |
| EventLog () | 根據預設,24 小時內的事件會從事件記錄檔) ( |
| File () | 特定檔案的相關資訊 |
| FileShare | 使用中檔案共用資訊 |
| 固件 | 固件 |
| IDEController | IDE 控制器 |
| InstalledExecutable | 已安裝的可執行檔 |
| InstalledSoftware | 安裝在裝置上的應用程式 |
| IPConfig | 取得網路設定,包括可用的介面、IP 位址和 DNS 伺服器 |
| IRQTable | IRQ 資料表 |
| 鍵盤 | 鍵盤 |
| LoadOrderGroup | 載入順序群組 |
| LogicalDisk | 邏輯磁片 |
| MDMDevDetail | 裝置資訊 |
| 記憶體 | 記憶體 |
| 數據機 | 數據機 |
| 主機板 | 主機板 |
| NetworkAdapter | 網路介面卡 |
| NetworkAdapterConfiguration | 網路介面卡設定 |
| NetworkClient | 網路用戶端 |
| NetworkLoginProfile | 網路登入設定檔 |
| NTEventlogFile | NT 事件記錄檔 |
| Office365ProPlusConfigurations | Office 365應用程式組態 |
| OfficeAddin | Office 增益集 |
| OfficeClientMetric | Office 用戶端計量 |
| OfficeDeviceSummary | Office 裝置摘要 |
| OfficeDocumentMetric | Office 檔計量 |
| OfficeDocumentSolution | Office 檔解決方案 |
| OfficeMacroError | Office 宏錯誤 |
| OfficeProductInfo | Office 產品資訊 |
| OfficeVbaRuleViolation | Office Vba 規則違規 |
| OfficeVbaSummary | Office VBA 掃描摘要 |
| OperatingSystem | 作業系統 |
| OperatingSystemEx | 作業系統 Ex |
| OperatingSystemRecoveryConfiguration | 作業系統復原設定 |
| OptionalFeature | 選擇性功能 |
| 作業系統 | 作業系統的基本資訊 |
| PageFileSetting | 頁面檔案設定 |
| ParallelPort | 平行埠 |
| Partition | 磁碟分割 |
| PCMCIAController | PCMCIA 控制器 |
| PhysicalDisk | PhysicalDisk |
| PhysicalMemory | 實體記憶體 |
| PNPDEVICEDRIVER | PNP 設備磁碟機 |
| PointingDevice | 指向裝置 |
| PortableBattery | 可攜式電池 |
| 連接埠 | 連接埠 |
| PowerCapabilities | 電源功能 |
| PowerClientOptOutSettings | 電源管理排除設定 |
| PowerConfigurations | 電源組態 |
| PowerManagementDaily | 電源管理每日資料 |
| PowerManagementInsomniaReasons | 電源失眠原因 |
| PowerManagementMonthly | 電源管理每月資料 |
| PowerSettings | 電源設定 |
| PrinterConfiguration | 印表機組態 |
| PrinterDevice | 印表機裝置 |
| PrintJobs | 列印工作 |
| 程序 | 作業系統上的進程 |
| ProcessModule () | 由指定進程載入的模組 |
| 處理器 | 處理器 |
| ProtectedVolumeInformation | 受保護的磁片區資訊 |
| Protocol (通訊協定) | Protocol (通訊協定) |
| QuickFixEngineering | 快速修正工程 |
| 登錄 | 特定登錄機碼 的所有值從 2107 版開始,金鑰值已新增至登錄 () 實體 |
| SCSIController | SCSI 控制器 |
| SerialPortConfiguration | 序列埠組態 |
| SerialPorts | 序列埠 |
| ServerFeature | 伺服器功能 |
| 服務 | 執行 Windows 之電腦系統上的服務 |
| 服務 | 服務 |
| 股票 | 股票 |
| SMBConfig | 裝置的 SMB 設定 |
| SMSAdvancedClientPorts | Configuration Manager用戶端埠 |
| SMSAdvancedClientSSLConfigurations | Configuration Manager用戶端 SSL 組態 |
| SMSAdvancedClientState | Configuration Manager用戶端狀態 |
| SMSDefaultBrowser | 預設瀏覽器 |
| SMSSoftwareTag | 軟體標籤 |
| SMSWindows8Application | Windows 應用程式 |
| SMSWindows8ApplicationUserInfo | Windows 應用程式使用者資訊 |
| SoftwareShortcut | 軟體快捷方式 |
| SoftwareUpdate | 適用于但未安裝在裝置上的軟體更新 |
| SoundDevices | 音效裝置 |
| SWLicensingProduct | 軟體授權產品 |
| SWLicensingService | 軟體授權服務 |
| SystemAccount | 系統帳戶 |
| SystemBootData | 系統開機資料 |
| SystemBootSummary | 系統開機摘要 |
| SystemConsoleUsage | 系統主控台使用方式 |
| SystemConsoleUser | 系統主控台使用者 |
| SystemDevices | 系統裝置 |
| SystemDrivers | 系統驅動程式 |
| SystemEnclosure | 系統主機殼 |
| TapeDrive | 磁帶機 |
| TimeZone | 時區 |
| Tpm | Tpm |
| TPMStatus | TPM 狀態 |
| TSIssuedLicense | TS 發行的授權 |
| TSLicenseKeyPack | TS 授權金鑰套件 |
| UninterruptiblePowerSupply | 不斷電供應系統供應器 |
| USBController | USB 控制器 |
| USBDevice | USB 裝置 |
| 使用者 | 與裝置有作用中連線的使用者帳戶 |
| USMFolderRedirectionHealth | 資料夾重新導向健康情況 |
| USMUserProfile | 使用者設定檔健康情況 |
| VideoController | 視訊控制器 |
| VirtualMachine | 虛擬機器 |
| VirtualMachine64 | 虛擬機器 (64) |
| 卷冊 | 卷冊 |
| WindowsUpdate | Windows Update |
| WindowsUpdateAgentVersion | Windows Update代理程式版本 |
| WinEvent () | 預設會從 Windows 事件記錄檔 (24 小時內) 的事件 |
| WriteFilterState | 寫入篩選準則狀態 |
資料表運算子
資料表運算子可以用來篩選、摘要和轉換資料流程。 目前支援下列運算子:
| 資料表運算子 | 描述 |
|---|---|
| Count | 傳回包含記錄數目的單一記錄的資料表 |
| 不同 | 產生具有輸入資料表所提供資料行之相異組合的資料表 |
| 加入 | 藉由比對相同裝置的資料列,合併兩個數據表的資料列以形成新的資料表 |
| order by | 依一或多個資料行順序排序輸入資料表的資料列 |
| 專案 | 選取要包含、重新命名或卸載的資料行,然後插入新的計算資料行 |
| take | 最多傳回指定的資料列數目 |
| top | 傳回依指定資料行排序的前 N 筆記錄 |
| 其中 | 將資料表篩選為滿足述詞的資料列子集 |
純量運算子
下表摘要說明運算子:
| 運算子 | 描述 | 範例 |
|---|---|---|
| == | 平等 | 1 == 1, 'aBc' == 'AbC' |
| != | 不等於 | 1 != 2, 'abc' != 'abcd' |
| < | 少 | 1 < 2, 'abc' < 'DEF' |
| > | 大 | 2 > 1, 'xyz' > 'XYZ' |
| <= | 小於或等於 | 1 <= 2, 'abc' <= 'abc' |
| >= | 大於或等於 | 2 >= 1, 'abc' >= 'ABC' |
| + | 新增 | 2 + 1, now() + 1d |
| - | Subtract | 2 - 1, now() - 1h |
| * | 乘 | 2 * 2 |
| / | 劃分 | 2 / 1 |
| % | 模 | 2 % 1 |
| 按讚 | 左側 (LHS) 包含與右側 (RHS) | 'abc' like '%B%' |
| !喜歡 | LHS 不包含 RHS 的相符專案 | 'abc' !like '_d_' |
| 包含 | RHS 會以 LHS 的子序列發生 | 'abc' contains 'b' |
| !包含 | RHS 不會在 LHS 中發生 | 'team' !contains 'i' |
| startswith | RHS 是 LHS 的初始子序列 | 'team' startswith 'tea' |
| !startswith | RHS 不是 LHS 的初始子序列 | 'abc' !startswith 'bc' |
| endswith | RHS 是 LHS 的結尾子序列 | 'abc' endswith 'bc' |
| !endswith | RHS 不是 LHS 的結尾子序列 | 'abc' !endswith 'a' |
| 及 | 只有在 RHS 和 LHS 為 true 時才為 True | (1 == 1) and (2 == 2) |
| 或 | 只有在 RHS 或 LHS 為 true 時才為 True | (1 == 1) or (1 == 2) |
匯總函式
匯總函數可以與 summarize 資料表運算子搭配使用,以計算摘要值。 目前支援下列匯總函數:
| 函數 | 描述 |
|---|---|
| avg () | 傳回整個群組中值的平均值 |
| count () | 傳回每個摘要群組的記錄計數 |
| countif () | 傳回述詞評估為 true 的資料列計數 |
| dcount () | 傳回群組中相異值的數目 |
| max () | 傳回整個群組的最大值 |
| maxif () | 從 2107 版開始,您可以使用 maxif 搭配 summarize 資料表運算子。 傳回述 詞 評估 true 為 之群組的最大值。 |
| min () | 傳回整個群組的最小值 |
| minif () | 從 2107 版開始,您可以使用 minif 搭配 summarize 資料表運算子。 傳回述 詞 評估 true 為 之群組的最小值。 |
| percentile () | 傳回 Expr 所定義母體中指定最接近排名百分位數的估計值 |
| sum () | 傳回整個群組的值總和 |
| sumif () | 傳回述詞評估為 true 的 Expr 總和 |
純量函式
純量函式可用於運算式。 目前支援下列純量函式:
| 函數 | 描述 |
|---|---|
| ago () | 從目前的 UTC 時鐘時間減去指定的時間範圍 |
| bin () | 將值無條件舍去為指定間隔大小的 datetime 倍數 |
| case () | 評估述詞清單,並傳回第一個符合述詞的結果運算式 |
| datetime_add () | 從指定的 datepart 計算新的日期時間乘以指定的數量,新增至指定的 datetime |
| datetime_diff () | 計算兩個日期時間值之間的差異 |
| iif () | 評估第一個引數,並傳回第二個或第三個引數的值,視述詞評估為 true (秒) 或 false (第三個) |
| indexof () | 函式會報告輸入字串內第一次出現指定字串之以零起始的索引 |
| isotnull () | 評估其唯一引數,並傳回布林值,指出引數是否評估為非 Null 值 |
| isnull () | 評估其唯一引數,並傳回布林值,指出引數是否評估為 Null 值 |
| now () | 傳回目前的 UTC 時鐘時間 |
| strcat () | 串連 1 到 64 個引數 |
| strlen () | 傳回輸入字串的長度,以字元為單位 |
| substring () | 從某個索引到字串結尾的來源字串擷取子字串 |
| tostring () | 將輸入轉換成字串表示 |
來自 Configuration Manager CMPivot 的其他實體、運算子和函式
重要事項
當您從系統管理中心執行 CMPivot 時,Microsoft Intune不支援這些專案。
| 類型 | 項目 | 描述 |
|---|---|---|
| 實體 | AccountSID | 帳戶 SID |
| 實體 | FileContent () | 特定檔案的內容 |
| 實體 | NAPClient | NAP 用戶端 |
| 實體 | NAPSystemHealthAgent | NAP 系統健康情況代理程式 |
| 實體 | RegistryKey () | 從 2107 版開始傳回符合指定運算式 (的所有登錄機碼) |
| 資料表運算子 | 呈現 | 將結果轉譯為圖形輸出 |
後續步驟
如需詳細資訊,請參閱從系統管理中心啟動 CMPivot如需更多範例腳本,請參閱Microsoft Intune租使用者附加:CMPivot 腳本範例。
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應