CMPivot pro data v reálném čase v Configuration Manager

Platí pro: Configuration Manager (Current Branch)

Configuration Manager vždy poskytovala velké centralizované úložiště dat zařízení, které zákazníci používají pro účely vytváření sestav. Web obvykle shromažďuje tato data každý týden. Od verze 1806 je CMPivot novým konzolovým nástrojem, který teď poskytuje přístup ke stavu zařízení ve vašem prostředí v reálném čase. Okamžitě spustí dotaz na všech aktuálně připojených zařízeních v cílové kolekci a vrátí výsledky. Potom tato data v nástroji vyfiltrujte a seskupte. Poskytnutím dat z online klientů v reálném čase můžete rychleji zodpovědět obchodní otázky, řešit problémy a reagovat na incidenty zabezpečení.

Například při zmírnění ohrožení zabezpečení kanálu na straně spekulativního spouštění je jedním z požadavků aktualizace systému BIOS. Nástroj CMPivot můžete použít k rychlému dotazování na informace o systému BIOS a vyhledání klientů, kteří nejsou v souladu s předpisy.

Důležité

  • Některý bezpečnostní software může blokovat skripty spuštěné ve složce c:\windows\ccm\scriptstore. To může zabránit úspěšnému spuštění dotazů CMPivot. Některé bezpečnostní software mohou také generovat události auditu nebo výstrahy při spuštění CMPivot PowerShellu.
  • Určitý antimalwarový software může neúmyslně aktivovat události proti funkcím Configuration Manager Spouštění skriptů nebo CMPivot. Doporučujeme vyloučit %windir%\CCM\ScriptStore, aby antimalwarový software umožňoval tyto funkce běžet bez rušení.

Požadavky

K použití doplňku CMPivot jsou nutné následující součásti:

  • Aktualizujte cílová zařízení na nejnovější verzi klienta Správce konfigurace.

  • Cíloví klienti vyžadují PowerShell minimálně ve verzi 4.

  • Ke shromažďování dat pro následující entity vyžadují cíloví klienti PowerShell verze 5.0:

    • Správci
    • Připojení
    • IPConfig
    • SMBConfig
  • CmPivot a instalační program Microsoft Edge jsou aktuálně podepsané certifikátem PCA 2011 pro podepisování kódu Microsoftu. Pokud nastavíte zásadu spouštění PowerShellu na AllSigned, musíte se ujistit, že zařízení důvěřují tomuto podpisového certifikátu. Certifikát můžete exportovat z počítače, na kterém jste nainstalovali konzolu Configuration Manager. Zobrazte certifikát "C:\Program Files (x86)\Microsoft Endpoint Manager\AdminConsole\bin\CMPivot.exe"a pak exportujte certifikát pro podpis kódu z cesty k certifikátu. Pak ho naimportujte do úložiště důvěryhodných vydavatelů počítače na spravovaných zařízeních. Proces můžete použít na následujícím blogu, ale nezapomeňte exportovat certifikát pro podpis kódu z certifikační cesty: Přidání certifikátu důvěryhodným vydavatelům pomocí Intune.

Oprávnění

Pro cmpivot jsou potřebná následující oprávnění:

  • Spuštění oprávnění CMPivot v kolekci
  • Oprávnění ke čtení sestav inventáře
  • Oprávnění ke čtení objektu SMS Scripts
    • Čtení skriptů SMS není nutné od verze 2107
    • CmPivot nepotřebuje čtení pro SMS skripty pro jeho primární scénář od verze 2107. Pokud je ale služba pro správu vypnutá a oprávnění bylo odebráno, po návratu služby pro správu dojde k selhání doplňku CMPivot. Zprostředkovatel SMS stále vyžaduje oprávnění ke čtení u SMS skriptů, pokud se k ní služba pro správu vrátí kvůli chybě 503 (Služba není k dispozici), jak je vidět v souboru CMPivot.log.
  • Výchozí obor.
    • Výchozí obor se nevyžaduje od verze 2107.

Oprávnění CMPivot podle verze Configuration Manager

1902 a starší Verze 1906 až 2103 2107 nebo novější
Oprávnění ke spuštění skriptu v kolekci Spuštění oprávnění CMPivot v kolekci Spuštění oprávnění CMPivot v kolekci
Oprávnění ke čtení sestav inventáře Oprávnění ke čtení sestav inventáře Oprávnění ke čtení sestav inventáře
Oprávnění ke čtení skriptů SMS Oprávnění ke čtení skriptů SMS Není k dispozici.

Zprostředkovatel SMS stále vyžaduje oprávnění ke čtení u SMS skriptů, pokud se k ní služba pro správu vrátí kvůli chybě 503 (Služba není k dispozici), jak je vidět v souboru CMPivot.log.
Výchozí oprávnění oboru Výchozí oprávnění oboru Žádná

Omezení

  • CmPivot vrátí data pouze pro klienty připojené k aktuální lokalitě, pokud nejsou spuštěny z lokality centrální správy (CAS).
    • Pokud kolekce obsahuje zařízení z jiné lokality, výsledky doplňku CMPivot pocházejí pouze ze zařízení v aktuální lokalitě, pokud se cmpivot nespouští z cas.
    • V některých prostředích jsou pro spuštění doplňku CMPivot v cas potřeba další oprávnění. Další informace naleznete v tématu ZMĚNY CMPivot pro verzi 1902.
  • Vlastnosti entit, sloupce pro výsledky ani akce na zařízeních se nedají přizpůsobit.
  • Na počítači, na kterém je spuštěna konzola Configuration Manager, lze současně spustit pouze jednu instanci doplňku CMPivot.
  • V samostatném doplňku CMPivot nemáte přístup k dotazům CMPivot uloženým v centru Community.
  • Při použití jednotného přihlašování s vícefaktorovým ověřováním se možná nebudete moct přihlásit k centru Community z nástroje CMPivot při použití Configuration Manager 2103 a starších verzích.

Spuštění doplňku CMPivot

  1. V konzole Configuration Manager se připojte k primární lokalitě nebo cas. Přejděte do pracovního prostoru Prostředky a kompatibilita a vyberte uzel Kolekce zařízení . Vyberte cílovou kolekci a výběrem možnosti Start CMPivot na pásu karet spusťte nástroj. Pokud tuto možnost nevidíte, zkontrolujte následující konfigurace:

    • Ověřte u správce webu, že váš účet má požadovaná oprávnění. Další informace najdete v tématu Požadavky.
  2. Rozhraní poskytuje další informace o používání nástroje.

    • V horní části zadejte řetězce dotazů ručně nebo vyberte odkazy v dokumentaci v řádku.

    • Vyberte jednu z entit , kterou chcete přidat do řetězce dotazu.

    • Odkazy pro operátory tabulky, agregační funkce a skalární funkce otevírají referenční dokumentaci k jazyku ve webovém prohlížeči. Nástroj CMPivot používá dotazovací jazyk Kusto (KQL).

  3. Nechte okno CMPivot otevřené, aby se zobrazily výsledky z klientů. Po zavření okna CMPivot se relace dokončí.

    • Pokud byl dotaz odeslán, klienti stále odesílají na server odpověď stavové zprávy.

Jak používat CMPivot

Ukázka okna CMPivot

Okno CMPivot obsahuje následující prvky:

  1. Kolekce, na kterou cmpivot aktuálně cílí, je v záhlaví v horní části a na stavovém řádku v dolní části okna. Například "PM_Team_Machines" na výše uvedeném snímku obrazovky.

  2. V podokně na levé straně jsou uvedeny entity , které jsou k dispozici na klientech. Některé entity spoléhají na rozhraní WMI, zatímco jiné k získání dat z klientů používají PowerShell.

    • Kliknutím pravým tlačítkem na entitu zobrazíte následující akce:

      • Vložení: Přidejte entitu do dotazu na aktuální pozici kurzoru. Dotaz se nespustí automaticky. Tato akce je výchozí, když dvakrát kliknete na entitu. Tuto akci použijte při vytváření dotazu.

      • Dotaz všech: Spusťte dotaz pro tuto entitu včetně všech vlastností. Pomocí této akce můžete rychle zadat dotaz na jednu entitu.

      • Dotaz podle zařízení: Spusťte dotaz pro tuto entitu a seskupte výsledky. Například Disk | summarize dcount( Device ) by Name

    • Rozbalením entity zobrazíte konkrétní vlastnosti dostupné pro každou entitu. Poklikáním na vlastnost ji přidáte do dotazu na aktuální pozici kurzoru.

  3. Karta Domů zobrazuje obecné informace o doplňku CMPivot, včetně odkazů na ukázkové dotazy a podpůrné dokumentace.

  4. Na kartě Dotaz se zobrazí podokno dotazu, podokno výsledků a stavový řádek. Karta dotazu je vybraná ve výše uvedeném příkladu snímku obrazovky.

  5. V podokně dotazů sestavíte nebo zadáte dotaz, který se má spustit na klientech v kolekci.

    • CMPivot používá podmnožinu jazyka Kusto Query Language (KQL).

    • Vyjmutí, zkopírování nebo vložení obsahu v podokně dotazu

    • Ve výchozím nastavení používá toto podokno IntelliSense. Pokud například začnete psát D, IntelliSense navrhne všechny entity, které začínají tímto písmenem. Vyberte některou možnost a stisknutím klávesy Tab ji vložte. Zadejte znak svislé čáry a mezeru | a IntelliSense navrhne všechny operátory tabulky. Vložte summarize a zadejte mezeru a IntelliSense navrhne všechny agregační funkce. Další informace o těchto operátorech a funkcích získáte výběrem karty Domů v doplňku CMPivot.

    • Podokno dotazu také nabízí následující možnosti:

      • Spusťte dotaz.

        • Pokud chcete na klientech znovu spustit aktuální dotaz CMPivot, podržte stisknutou klávesu Ctrl a klikněte na Spustit.
      • Posun zpět a vpřed v seznamu historie dotazů.

      • Vytvořte přímou kolekci členství.

      • Exportujte výsledky dotazu do souboru CSV nebo schránky.

  6. V podokně výsledků se zobrazí data vrácená aktivními klienty pro dotaz.

    • Dostupné sloupce se liší v závislosti na entitě a dotazu.

    • Sytost barev dat v tabulce výsledků nebo grafu označuje, jestli jsou data živá, nebo z poslední kontroly inventáře hardwaru uložené v databázi lokality. Černá je například data z online klienta v reálném čase, zatímco šedá data jsou uložená v mezipaměti.

    • Výběrem názvu sloupce seřadíte výsledky podle dané vlastnosti.

    • Kliknutím pravým tlačítkem myši na libovolný název sloupce seskupíte výsledky podle stejných informací v daném sloupci nebo výsledky seřadíte.

    • Klikněte pravým tlačítkem na název zařízení a proveďte v zařízení následující další akce:

    • Klikněte pravým tlačítkem na libovolnou buňku mimo zařízení a proveďte následující další akce:

      • Kopírovat: Zkopírujte text buňky do schránky.

      • Show devices with: Query for devices with this value for this property. Například z výsledků OS dotazu vyberte tuto možnost v buňce na řádku Verze: OS | summarize countif( (Version == '10.0.17134') ) by Device | where (countif_ > 0)

      • Zobrazit zařízení bez: Dotaz na zařízení bez této hodnoty pro tuto vlastnost Například z výsledků OS dotazu vyberte tuto možnost v buňce na řádku Verze: OS | summarize countif( (Version == '10.0.17134') ) by Device | where (countif_ == 0) | project Device

      • Bing: Spusťte výchozí webový prohlížeč https://www.bing.com s touto hodnotou jako řetězcem dotazu.

    • Výběrem libovolného textu s hypertextovými odkazy můžete zobrazení s konkrétními informacemi překlopit.

    • V podokně výsledků se nezobrazuje více než 20 000 řádků. Upravte dotaz tak, aby data dále filtrovat, nebo restartujte CMPivot v menší kolekci.

  7. Na stavovém řádku se zobrazují následující informace (zleva doprava):

    • Stav aktuálního dotazu do cílové kolekce. Tento stav zahrnuje:

      • Počet aktivních klientů, kteří dokončili dotaz (3)

      • Celkový počet klientů (5)

      • Počet offline klientů (2)

      • Jakýkoli klient, který vrátil chybu (0)

        Příklad: Query completed on 3 of 5 clients (2 clients offline and 0 failure)

    • ID operace klienta. Příklad: id(16780221)

    • Aktuální kolekce. Příklad: PM_Team_Machines

    • Celkový počet řádků v podokně výsledků Například 1 objects

Tip

Od verze 2107 použijte znovu tlačítko Dotazovat zařízení nebo CtrlF5 + , aby klient znovu načetl data pro dotaz. Opětovné použití dotazovacích zařízení je užitečné, když očekáváte, že se data v zařízení od posledního dotazu změní, například při řešení potíží. Opětovný výběr možnosti Spustit dotaz poté, co se vrátí počáteční výsledky, analyzuje pouze data, která už doplněk CMPivot načetl z klienta.

Snímek obrazovky s tlačítkem pro dotazování zařízení s popisem, že Kombinace kláves Ctrl + F5 je zkratka pro vynucení opětovného načtení dat klienty

Publikování dotazu do Community centra z CMPivotu

(Platí pro verzi 2107 nebo novější)

Od verze 2107 můžete publikovat dotaz CMPivot do centra Community přímo z okna CMPivot. Odeslání dotazů přímo prostřednictvím doplňku CMPivot usnadňuje přispívání do Community centra.

Budete potřebovat následující požadavky pro CMPivot a pro přispívání do Community centra:

  1. Přejděte do pracovního prostoru Prostředky a dodržování předpisů a vyberte uzel Kolekce zařízení.

  2. Vyberte cílovou kolekci, cílové zařízení nebo skupinu zařízení a pak na pásu karet vyberte Spustit CMPivot.

  3. V okně CMPivot vyberte v nabídce Community ikonu centra.

    Community ikonu centra

  4. Vyberte Přihlásit se a pak se přihlaste k GitHub.

  5. Vytvořte dotaz CMPivot a pak vyberte Spustit dotaz a ověřte jeho funkce podle očekávání.

    • Pokud chcete použít dotaz, který jste už vytvořili, vyberte ikonu složky, abyste měli přístup k seznamu oblíbených položek.
  6. Až budete chtít odeslat dotaz, vyberte v horní části okna centra CM Community Pivot odkaz Publikovat.

    Snímek obrazovky s Community centra v doplňku CMPivot zobrazující kartu publikování

  7. Zadejte dotaz název a popis a pak vyberte tlačítko Publikovat a odešlete dotaz do Community centra.

  8. Jakmile příspěvek dokončíte, můžete k dotazu kdykoli přistupovat z karty Já.

  9. Pokud chcete zobrazit GitHub žádosti o vyžádanou zprávu (PR), přejděte na https://github.com/Microsoft/configmgr-hub/pulls . K odkazu PR se můžete také připojit ze stránky Centrum v uzlu Community centra.

    • PRs by se neměly předát přímo do GitHub úložiště.

Poznámka

  • V současné době při publikování dotazu prostřednictvím doplňku CMPivot ho po publikování nemůžete upravovat ani odstraňovat.
  • Community je dostupné jenom v doplňku CMPivot, když ho spustíte z Správce konfigurace konzoly. Community není k dispozici ze samostatného doplňku CMPivot.

Ukázkové scénáře pro CMPivot

Následující části obsahují příklady použití doplňku CMPivot ve vašem prostředí:

Příklad 1: Zastavení spuštěné služby

Správce zabezpečení vás požádá, abyste službu Prohlížeč počítačů co nejrychleji zastavili a vypnuli na všech zařízeních v účetním oddělení. Spustíte CMPivot v kolekci pro všechna zařízení v účetnictví a vyberete dotaz na entitu Služby .

Service

Jak se zobrazí výsledky, klikněte pravým tlačítkem na sloupec Název a vyberte Seskupit podle.

Service | summarize dcount( Device ) by Name

V řádku pro službu Prohlížeč vyberete číslo hypertextového odkazu ve sloupci dcount_ .

Service | where (Name == 'Browser') | summarize count() by Device

Vyberete více zařízení, kliknete pravým tlačítkem myši na výběr a zvolíte Spustit skript. Tato akce spustí průvodce spuštěním skriptu, ze kterého spustíte existující skript, který máte pro zastavení a zakázání služby. S nástrojem CMPivot rychle reagujete na incident zabezpečení pro všechny aktivní počítače a zobrazíte výsledky v průvodci spuštěním skriptu. Následně vytvoříte standardní hodnoty konfigurace pro nápravu ostatních počítačů v kolekci, jakmile budou v budoucnu aktivní.

Příklad doplňku CMPivot pro službu prohlížeče a akci Spustit skript

Příklad 2: Proaktivní řešení selhání aplikací

Pokud chcete být proaktivní s provozní údržbou, jednou týdně spustíte nástroj CMPivot proti kolekci serverů, které spravujete, a vyberete dotaz na entitu AppCrash . Klikněte pravým tlačítkem na sloupec FileName a vyberte Seřadit vzestupně. Jedno zařízení vrátí sedm výsledků pro sqlsqm.exe s časovým razítkem přibližně 03:00 každý den. Vyberte název souboru v jednom z řádků, klikněte na něj pravým tlačítkem myši a vyberte Bing It. Při procházení výsledků hledání ve webovém prohlížeči najdete článek podpory Microsoftu pro tento problém s dalšími informacemi a řešením.

Příklad 3: Verze systému BIOS

Pokud chcete zmírnit ohrožení zabezpečení kanálu na straně spekulativního spouštění, jedním z požadavků je aktualizace systému BIOS. Začnete dotazem na entitu systému BIOS . Potom seskupíte podle vlastnosti Version . Potom klikněte pravým tlačítkem na konkrétní hodnotu, například "LENOVO - 1140", a vyberte Zobrazit zařízení s.

Bios | summarize countif( (Version == 'LENOVO - 1140') ) by Device | where (countif_ > 0)

Příklad 4: Volné místo na disku

Potřebujete dočasně uložit velký soubor na síťový souborový server, ale nevíte, který z nich má dostatečnou kapacitu. Spusťte nástroj CMPivot proti kolekci souborových serverů a dotazujte se na entitu Disk . Upravte dotaz pro cmpivot tak, aby rychle vrátil seznam aktivních serverů s daty úložiště v reálném čase:

Disk | where (Description == 'Local Fixed Disk') | where isnotnull( FreeSpace ) | order by FreeSpace asc

Samostatná karta CMPivot

CmPivot můžete použít jako samostatnou aplikaci. Samostatná funkce CMPivot je dostupná jenom v angličtině. Spuštěním doplňku CMPivot mimo Správce konfigurace konzoly zobrazíte stav zařízení v reálném čase ve vašem prostředí. Tato změna umožňuje používat CMPivot na zařízení bez předchozí instalace konzoly.

Funkce CMPivot můžete sdílet s jinými personami, jako je helpdesk nebo správci zabezpečení, kteří nemají na počítači nainstalovanou konzoli. Tyto další osoby mohou pomocí doplňku CMPivot Správce konfigurace dotazy společně s dalšími nástroji, které tradičně používají. Sdílením těchto bohatých dat pro správu můžete spolupracovat na aktivním řešení obchodních problémů, které se kříží mezi rolemi.

Instalace samostatného doplňku CMPivot

  1. Nastavte oprávnění potřebná ke spuštění doplňku CMPivot. Další informace najdete v tématu Předpoklady. Roli Správce zabezpečení můžete použít také v případě, že jsou pro uživatele příslušná oprávnění.

  2. Instalační program aplikace CMPivot najdete v následující cestě: <site install path>\tools\CMPivot\CMPivot.msi . Můžete ji spustit z této cesty nebo ji zkopírovat do jiného umístění.

  3. Když spustíte samostatnou aplikaci CMPivot, zobrazí se dotaz, jestli se chcete připojit k webu. Zadejte plně kvalifikovaný název domény nebo název počítače serveru Centrální správy nebo primárního webu.

    • Při každém otevření samostatného doplňku CMPivot se zobrazí výzva k připojení k serveru webu.
  4. Přejděte do kolekce, ve které chcete spustit CMPivot, a spusťte dotaz.

    Přejděte do kolekce, proti které chcete dotaz spustit.

Poznámka

  • Akce kliknutí pravým tlačítkem, například Spustit skripty, Průzkumníka prostředků a webové vyhledávání, nejsou v samostatném doplňku CMPivot dostupné. Primárním použitím samostatného doplňku CMPivot je dotazování nezávisle na Správce konfigurace infrastruktury. Aby správci zabezpečení pomohli, samostatná funkce CMPivot zahrnuje možnost připojení k Centrum zabezpečení v programu Microsoft Defender.
  • Vyhodnocení dotazů na místní zařízení můžete provést pomocí samostatného doplňku CMPivot.

Uvnitř doplňku CMPivot

CmPivot odesílá dotazy klientům pomocí Configuration Manager "rychlý kanál". Tento komunikační kanál ze serveru do klienta používají také další funkce, jako jsou akce oznámení klienta, stav klienta a Endpoint Protection. Klienti vrací výsledky prostřednictvím podobně rychlého systému zpráv stavu. Stavové zprávy jsou dočasně uloženy v databázi. Další informace o portech používaných pro oznámení klienta najdete v článku Porty .

Všechny dotazy a výsledky jsou jenom text. Entity InstallSoftware a Process vrátí některé z největších sad výsledků dotazu. Během testování výkonu byla největší velikost souboru zpráv stavu z jednoho klienta pro tyto dotazy menší než 1 kB. Tento jednorázový dotaz škálovaný na velké prostředí s 50 000 aktivními klienty by v síti vygeneroval méně než 50 MB dat. Všechny položky na úvodní stránce, které jsou podtržené, vrátí méně než 1 kB informací na klienta.

Příklad podtržených entit CMPivot

Od Configuration Manager 1810 může nástroj CMPivot dotazovat data inventáře hardwaru, včetně rozšířených tříd inventáře hardwaru. Tyto nové entity (entity, které nejsou podtržené na úvodní stránce) můžou v závislosti na tom, kolik dat je definováno pro danou vlastnost inventáře hardwaru, vrátit mnohem větší datové sady. Například entita InstalledExecutable může v závislosti na konkrétních datech, na která se dotazujete, vracet více MB dat na jednoho klienta. Při vracení větších sad dat inventáře hardwaru z větších kolekcí pomocí cmPivotu mějte na paměti výkon a škálovatelnost vašich systémů.

Po jedné hodině vyprší časový limit dotazu. Kolekce má například 500 zařízení a 450 klientů je aktuálně online. Tato aktivní zařízení obdrží dotaz a vrátí výsledky téměř okamžitě. Pokud necháte okno CMPivot otevřené, protože ostatní 50 klientů je online, obdrží také dotaz a vrátí výsledky.

Soubory protokolů

Interakce CMPivot se protokolují do následujících souborů protokolu:

Na straně serveru:

  • SmsProv.log
  • BgbServer.log
  • StateSys.log

Na straně klienta:

  • CcmNotificationAgent.log
  • Scripts.log
  • StateMessage.log

Další informace naleznete v tématu Soubory protokolu a řešení potíží CMPivot.

Další kroky