CMPivot pro data v reálném čase v Configuration Manager

Platí pro: Configuration Manager (Current Branch)

Configuration Manager vždy poskytovalo velké centralizované úložiště dat zařízení, které zákazníci používají pro účely vytváření sestav. Web obvykle shromažďuje tato data každý týden. Počínaje verzí 1806 je CMPivot nový nástroj v konzole, který teď poskytuje přístup ke stavu zařízení ve vašem prostředí v reálném čase. Okamžitě spustí dotaz na všechna aktuálně připojená zařízení v cílové kolekci a vrátí výsledky. Potom tato data v nástroji vyfiltrujte a seskupte. Díky poskytování dat z online klientů v reálném čase můžete rychleji odpovídat na obchodní dotazy, řešit problémy a reagovat na incidenty zabezpečení.

Například při zmírnění ohrožení zabezpečení kanálu na straně spekulativního spuštění je jedním z požadavků aktualizace systému BIOS. CmPivot můžete použít k rychlému dotazování na informace systému BIOS a vyhledání klientů, kteří nedodržují předpisy.

Důležité

• Některý bezpečnostní software může blokovat skripty spuštěné z c:\windows\ccm\scriptstore. To může zabránit úspěšnému spuštění dotazů CMPivot. Některé bezpečnostní software může také generovat události auditu nebo výstrahy při spuštění powershellu CMPivot.
• Určitý antimalwarový software může neúmyslně aktivovat události proti Configuration Manager spustit skripty nebo funkce CMPivot. Doporučuje se vyloučit %windir%\CCM\ScriptStore, aby antimalwarový software umožnil spuštění těchto funkcí bez rušení.

Požadavky

K použití cmPivotu jsou potřeba následující komponenty:

• Aktualizujte cílová zařízení na nejnovější verzi klienta Správce konfigurace.

• Cíloví klienti vyžadují PowerShell minimálně ve verzi 4.

• Ke shromažďování dat pro následující entity vyžadují cíloví klienti PowerShell verze 5.0:

  • Správci
  • Připojení
  • IPConfig
  • SMBConfig

• CMPivot a instalační program Microsoft Edge jsou aktuálně podepsané certifikátem PCA 2011 pro podepisování kódu Microsoft. Pokud nastavíte zásady spouštění PowerShellu na AllSigned, musíte zajistit, aby zařízení důvěřovala tomuto podpisovacímu certifikátu. Certifikát můžete exportovat z počítače, na který jste nainstalovali konzolu Configuration Manager. Zobrazte certifikát na a "C:\Program Files (x86)\Microsoft Endpoint Manager\AdminConsole\bin\CMPivot.exe"pak exportujte certifikát pro podepisování kódu z certifikační cesty. Potom ho naimportujte do úložiště Důvěryhodných vydavatelů počítače na spravovaných zařízeních. Tento postup můžete použít v následujícím blogu, ale nezapomeňte exportovat certifikát pro podepisování kódu z certifikační cesty: Přidání certifikátu důvěryhodným vydavatelům pomocí Intune.

Oprávnění

Pro CMPivot jsou potřeba následující oprávnění:

• Oprávnění Ke spuštění CMPivotu v kolekci
• Oprávnění ke čtenísestav inventáře
• Oprávnění ke čtení objektu SMS Scripts
  • Čtení pro skripty SMS se od verze 2107 nevyžaduje
  • CmPivot nepotřebuje čtení pro skripty SMS pro primární scénář od verze 2107. Pokud je však služba pro správu mimo provoz a oprávnění bylo odebráno, pak když se služba pro správu vrátí, cmPivot selže. Poskytovatel serveru SMS stále vyžaduje oprávnění ke čteníu skriptů SMS, pokud se k němu služba správy vrátí kvůli chybě 503 (Služba není k dispozici), jak je vidět v protokolu CMPivot.log.
• Výchozí obor.
  • Výchozí obor se od verze 2107 nevyžaduje.

Oprávnění CMPivot podle Configuration Manager verze

1902 a starší	Verze 1906 až 2103	2107 nebo novější
Oprávnění ke spuštění skriptu v kolekci	Oprávnění Ke spuštění CMPivotu v kolekci	Oprávnění Ke spuštění CMPivotu v kolekci
Oprávnění ke čtenísestav inventáře	Oprávnění ke čtenísestav inventáře	Oprávnění ke čtenísestav inventáře
Oprávnění ke čteníve skriptech SMS	Oprávnění ke čteníve skriptech SMS	Není k dispozici : Poskytovatel serveru SMS stále vyžaduje oprávnění ke čtenískriptů SMS , pokud se k němu služba správy vrátí kvůli chybě 503 (Služba není k dispozici), jak je vidět v protokolu CMPivot.log.
Výchozí oprávnění oboru	Výchozí oprávnění oboru	Není k dispozici.

Omezení

• CmPivot vrací data pouze pro klienty připojené k aktuální lokalitě, pokud není spuštěn z lokality centrální správy (CAS).
  • Pokud kolekce obsahuje zařízení z jiného webu, jsou výsledky CMPivotu pouze ze zařízení na aktuálním webu, pokud není cmPivot spuštěn z cas.
  • V některých prostředích jsou pro spuštění cmpivotu v cas potřeba další oprávnění. Další informace najdete v tématu Změny CMPivotu pro verzi 1902.
• Vlastnosti entit, sloupce pro výsledky ani akce na zařízeních nemůžete přizpůsobit.
• Na počítači se spuštěnou konzolou Configuration Manager lze současně spustit pouze jednu instanci nástroje CMPivot.
• V samostatném cmPivotu nemůžete získat přístup k dotazům CMPivot uloženým v centru Komunity.
• Pokud se používá jednotné přihlašování s vícefaktorovým ověřováním, nemusí se při použití Configuration Manager 2103 a starších verzích přihlásit k centru Komunity z cmPivotu.

Spustit CMPivot

1. V konzole Configuration Manager se připojte k primární lokalitě nebo cas. Přejděte do pracovního prostoru Prostředky a kompatibilita a vyberte uzel Kolekce zařízení . Vyberte cílovou kolekci a na pásu karet vyberte Spustit CMPivot , aby se nástroj spustil. Pokud tuto možnost nevidíte, zkontrolujte následující konfigurace:

   • Ověřte u správce webu, že váš účet má požadovaná oprávnění. Další informace najdete v tématu Požadavky.

2. Rozhraní poskytuje další informace o používání nástroje.

   • Ručně zadejte řetězce dotazu nahoře nebo vyberte odkazy v vložené dokumentaci.

   • Vyberte jednu z entit a přidejte ji do řetězce dotazu.

   • Odkazy na operátory tabulek, agregační funkce a skalární funkce otevírají referenční jazykovou dokumentaci ve webovém prohlížeči. CMPivot používá dotazovací jazyk Kusto (KQL).

3. Nechte okno CMPivot otevřené, aby se zobrazily výsledky z klientů. Když zavřete okno CMPivot, relace se dokončí.

   • Pokud byl dotaz odeslán, klienti stále odesílají na server odpověď na stavovou zprávu.

Jak používat CMPivot

Okno CMPivot obsahuje následující prvky:

1. Kolekce, na kterou cmPivot aktuálně cílí, je v záhlaví nahoře a na stavovém řádku v dolní části okna. Například "PM_Team_Machines" na výše uvedeném snímku obrazovky.

2. V podokně vlevo jsou uvedeny entity , které jsou k dispozici na klientech. Některé entity spoléhají na rozhraní WMI, zatímco jiné k získání dat z klientů používají PowerShell.

   • Klikněte pravým tlačítkem na entitu pro následující akce:

     • Vložení: Přidejte entitu do dotazu na aktuální pozici kurzoru. Dotaz se nespustí automaticky. Tato akce je výchozí, když dvakrát kliknete na entitu. Tuto akci použijte při vytváření dotazu.

     • Dotaz na všechny: Spusťte dotaz pro tuto entitu včetně všech vlastností. Pomocí této akce můžete rychle zadat dotaz na jednu entitu.

     • Dotaz podle zařízení: Spusťte dotaz na tuto entitu a seskupte výsledky. Například Disk | summarize dcount( Device ) by Name

   • Rozbalením entity zobrazíte konkrétní vlastnosti dostupné pro každou entitu. Poklikáním na vlastnost ji přidáte do dotazu na aktuální pozici kurzoru.

3. Na kartě Domů se zobrazují obecné informace o cmPivotu, včetně odkazů na ukázkové dotazy a podpůrné dokumentace.

4. Na kartě Dotaz se zobrazí podokno dotazu, podokno výsledků a stavový řádek. Karta dotazu je vybraná v příkladu výše uvedeného snímku obrazovky.

5. V podokně dotazu se sestaví nebo zadáte dotaz, který se má spustit na klientech v kolekci.

   • CMPivot používá podmnožinu jazyka Kusto Query Language (KQL).

   • Vyjmutí, zkopírování nebo vložení obsahu v podokně dotazu

   • Ve výchozím nastavení používá toto podokno IntelliSense. Pokud například začnete psát D, IntelliSense navrhne všechny entity, které začínají tímto písmenem. Vyberte některou možnost a stisknutím klávesy Tab ji vložte. Zadejte znak svislé čáry a mezeru | a pak IntelliSense navrhne všechny operátory tabulky. Vložte summarize a zadejte mezeru a IntelliSense navrhne všechny agregační funkce. Další informace o těchto operátorech a funkcích získáte výběrem karty Domů v nástroji CMPivot.

   • Podokno dotazu také nabízí následující možnosti:

     • Spusťte dotaz.

       • Pokud chcete na klientech znovu spustit aktuální dotaz CMPivot, podržte klávesu Ctrl a klikněte na Spustit.

     • Pohyb dozadu a dopředu v seznamu dotazů historie

     • Vytvořte přímou kolekci členství.

     • Exportujte výsledky dotazu do souboru CSV nebo do schránky.

6. V podokně výsledků se zobrazí data vrácená aktivními klienty pro dotaz.

   • Dostupné sloupce se liší v závislosti na entitě a dotazu.

   • Sytost barev dat v tabulce výsledků nebo grafu označuje, jestli jsou data živá, nebo z poslední kontroly inventáře hardwaru uložené v databázi lokality. Například černá jsou data z online klienta v reálném čase, zatímco šedá jsou data uložená v mezipaměti.

   • Výběrem názvu sloupce seřadíte výsledky podle této vlastnosti.

   • Kliknutím pravým tlačítkem myši na název libovolného sloupce seskupíte výsledky podle stejných informací v daném sloupci nebo výsledky seřadíte.

   • Klikněte pravým tlačítkem na název zařízení a proveďte na zařízení následující další akce:

     • Přejít na: Dotaz na jinou entitu na tomto zařízení

       • Od verze 2006 byla funkce Pivot do nahrazena doplňkem Device Pivot. Další informace najdete v tématu Změny cmPivotu pro verzi 2006.

     • Spustit skript: Spusťte průvodce spuštěním skriptu, který na tomto zařízení spustí existující skript PowerShellu. Další informace najdete v tématu Spuštění skriptu.

     • Vzdálené řízení: Spusťte na tomto zařízení relaci Configuration Manager vzdáleného řízení. Další informace najdete v tématu Vzdálená správa klientského počítače s Windows.

     • Průzkumník prostředků: Spusťte Configuration Manager Průzkumníka prostředků pro toto zařízení. Další informace najdete v tématech Zobrazení inventáře hardwaru nebo Zobrazení inventáře softwaru.

   • Klikněte pravým tlačítkem na libovolnou buňku, která není zařízením, a proveďte následující další akce:

     • Kopírovat: Zkopírujte text buňky do schránky.

     • Zobrazit zařízení s: Dotaz na zařízení s touto hodnotou pro tuto vlastnost Například ve výsledcích OS dotazu vyberte v buňce v řádku Verze tuto možnost: OS | summarize countif( (Version == '10.0.17134') ) by Device | where (countif_ > 0)

     • Zobrazit zařízení bez: Dotaz na zařízení bez této hodnoty pro tuto vlastnost Například ve výsledcích OS dotazu vyberte v buňce v řádku Verze tuto možnost: OS | summarize countif( (Version == '10.0.17134') ) by Device | where (countif_ == 0) | project Device

     • Bing: Spusťte výchozí webový prohlížeč s https://www.bing.com touto hodnotou jako řetězec dotazu.

   • Výběrem libovolného textu hypertextového odkazu můžete zobrazení otočit podle konkrétních informací.

   • V podokně výsledků se nezobrazuje více než 20 000 řádků. Upravte dotaz tak, aby data dále filtroval, nebo restartujte CMPivot v menší kolekci.

7. Na stavovém řádku se zobrazují následující informace (zleva doprava):

   • Stav aktuálního dotazu na cílovou kolekci. Tento stav zahrnuje:

     • Počet aktivních klientů, kteří dotaz dokončili (3)

     • Celkový počet klientů (5)

     • Počet offline klientů (2)

     • Klienti, kteří vrátili selhání (0)

       Příklad: Query completed on 3 of 5 clients (2 clients offline and 0 failure)

   • ID operace klienta. Příklad: id(16780221)

   • Aktuální kolekce. Příklad: PM_Team_Machines

   • Celkový počet řádků v podokně výsledků Například 1 objects

Tip

Od verze 2107 použijte tlačítko Znovu zadat dotaz na zařízení nebo ctrl + F5 a vynuťte klienta, aby znovu načetl data pro dotaz. Opětovné použití dotazovacího zařízení je užitečné, pokud očekáváte, že se data na zařízení změní od posledního dotazu, například během řešení potíží. Když po vrácení počátečních výsledků znovu vyberete Spustit dotaz , provede se pouze analýza dat, která už cmPivot z klienta načetl.

Publikování dotazu do centra Komunity z CMPivotu

(Platí pro verzi 2107 nebo novější.)

Od verze 2107 můžete publikovat dotaz CMPivot do centra komunity přímo z okna CMPivot. Odesílání dotazů přímo přes CMPivot usnadňuje přispívání do centra Komunita.

Pro CMPivot a pro přispívání do centra Komunity budete potřebovat následující požadavky:

• Splnění všech požadavků a oprávnění nástroje CMPivot
• Povolit Centrum komunity.
  • V případě potřeby nainstalujte rozšíření Microsoft Edge WebView2 z oznámení konzoly Configuration Manager.
• Účet GitHubu, který je připojený k centru komunity
  • Pozvánku odeslanou e-mailem musíte přijmout, jinak nebudete moct přispívat obsahem.

1. Přejděte do pracovního prostoru Prostředky a kompatibilita a vyberte uzel Kolekce zařízení .

2. Vyberte cílovou kolekci, cílové zařízení nebo skupinu zařízení a pak vyberte Spustit CMPivot na pásu karet a spusťte nástroj.

3. V okně CMPivot vyberte v nabídce ikonu Centra komunity.

   

4. Vyberte Přihlásit se a pak se přihlaste ke GitHubu.

5. Vytvořte dotaz CMPivot a pak vyberte Spustit dotaz a ověřte, že funguje podle očekávání.

   • Volitelně můžete výběrem ikony složky získat přístup k seznamu oblíbených položek a použít dotaz, který jste už vytvořili.

6. Až budete připravení odeslat dotaz, vyberte odkaz Publikovat v horní části okna centra komunity CMPivotu.

   

7. Zadejte název a popis dotazu a pak výběrem tlačítka Publikovat odešlete dotaz do centra Komunita.

8. Po dokončení příspěvku můžete k dotazu kdykoli získat přístup z karty Já .

9. Pokud chcete zobrazit žádost o přijetí změn na GitHubu, přejděte na https://github.com/Microsoft/configmgr-hub/pulls. K odkazu na žádost o přijetí změn se dostanete také ze stránky Vaše centrum v uzlu Centrum komunity .

   • Žádosti o přijetí změn by se neměly odesílat přímo do úložiště GitHub.

Poznámka

• Když v současné době publikujete dotaz prostřednictvím nástroje CMPivot, nemůžete ho po publikování upravit ani odstranit.
• Centrum komunity je k dispozici pouze v cmPivotu, když ho spustíte z konzoly Configuration Manager. Centrum komunity není dostupné na samostatném cmPivotu.

Ukázkové scénáře pro CMPivot

Následující části obsahují příklady použití nástroje CMPivot ve vašem prostředí:

Příklad 1: Zastavení spuštěné služby

Správce zabezpečení vás požádá o co nejrychlejší zastavení a zakázání služby Prohlížeč počítače na všech zařízeních v účetním oddělení. CmPivot spustíte v kolekci pro všechna zařízení v účetnictví a vyberete Dotaz na vše v entitě Služba .

Service

Jakmile se zobrazí výsledky, klikněte pravým tlačítkem myši na sloupec Název a vyberte Seskupovat podle.

Service | summarize dcount( Device ) by Name

Na řádku služby Prohlížeč vyberete číslo hypertextového odkazu ve sloupci dcount_ .

Service | where (Name == 'Browser') | summarize count() by Device

Vícenásobně vyberete všechna zařízení, kliknete pravým tlačítkem myši na výběr a zvolíte Spustit skript. Tato akce spustí průvodce Spustit skript, ze kterého spustíte existující skript, který máte pro zastavení a zakázání služby. Pomocí nástroje CMPivot můžete rychle reagovat na incident zabezpečení pro všechny aktivní počítače a zobrazit výsledky v průvodci spuštěním skriptu. Následně vytvoříte standardní hodnoty konfigurace, které opraví ostatní počítače v kolekci, jakmile se v budoucnu stanou aktivními.

Příklad 2: Proaktivní řešení chyb aplikací

Pokud chcete být aktivní v provozní údržbě, jednou týdně spustíte cmPivot pro kolekci serverů, které spravujete, a vyberete Dotaz na vše v entitě AppCrash . Klikněte pravým tlačítkem na sloupec FileName a vyberte Seřadit vzestupně. Jedno zařízení vrací sedm výsledků pro sqlsqm.exe s časovým razítkem přibližně 03:00 každý den. V jednom z řádků vyberete název souboru, kliknete na něj pravým tlačítkem a vyberete Bing It. Při procházení výsledků hledání ve webovém prohlížeči najdete Microsoft článek podpory pro tento problém s dalšími informacemi a řešením.

Příklad 3: Verze systému BIOS

Jedním z požadavků na zmírnění ohrožení zabezpečení proti spekulativnímu spuštění postranním kanálem je aktualizace systému BIOS. Začnete dotazem na entitu systému BIOS . Potom seskupíte podle vlastnosti Verze . Potom klikněte pravým tlačítkem na konkrétní hodnotu, například LENOVO - 1140, a vyberte Zobrazit zařízení pomocí.

Bios | summarize countif( (Version == 'LENOVO - 1140') ) by Device | where (countif_ > 0)

Příklad 4: Volné místo na disku

Musíte dočasně uložit velký soubor na síťový souborový server, ale nejste si jistí, který z nich má dostatečnou kapacitu. Spusťte CMPivot pro kolekci souborových serverů a zadejte dotaz na entitu Disk . Upravte dotaz pro CMPivot tak, aby se rychle vrátil seznam aktivních serverů s daty úložiště v reálném čase:

Disk | where (Description == 'Local Fixed Disk') | where isnotnull( FreeSpace ) | order by FreeSpace asc

Samostatný CMPivot

CmPivot můžete použít jako samostatnou aplikaci. Samostatný cmPivot je k dispozici pouze v angličtině. Spuštěním nástroje CMPivot mimo konzolu Configuration Manager zobrazíte stav zařízení ve vašem prostředí v reálném čase. Tato změna umožňuje používat CMPivot na zařízení bez předchozí instalace konzoly.

Možnosti nástroje CMPivot můžete sdílet s dalšími osobami, jako jsou například helpdesk nebo správci zabezpečení, kteří nemají na svém počítači nainstalovanou konzolu. Tyto další osoby můžou používat CMPivot k dotazování Configuration Manager spolu s dalšími nástroji, které tradičně používají. Sdílením těchto bohatých dat správy můžete spolupracovat na proaktivním řešení obchodních problémů, které se snoubí mezi rolemi.

Instalace samostatného doplňku CMPivot

1. Nastavte oprávnění potřebná ke spuštění nástroje CMPivot. Další informace najdete v tématu Požadavky. Pokud jsou oprávnění pro uživatele vhodná, můžete také použít roli Správce zabezpečení .

2. Instalační program aplikace CMPivot najdete v následující cestě: <site install path>\tools\CMPivot\CMPivot.msi. Můžete ho spustit z této cesty nebo zkopírovat do jiného umístění.

3. Když spustíte samostatnou aplikaci CMPivot, zobrazí se výzva k připojení k webu. Zadejte plně kvalifikovaný název domény nebo název počítače centrální správy nebo serveru primární lokality.

   • Pokaždé, když otevřete samostatný cmpivot, budete vyzváni k připojení k serveru lokality.

4. Přejděte do kolekce, ve které chcete spustit CMPivot, a spusťte dotaz.

   

Poznámka

• Akce kliknutí pravým tlačítkem myši, například Spustit skripty, Průzkumník prostředků a vyhledávání na webu, nejsou v samostatném cmPivotu dostupné. Primárním využitím samostatného nástroje CMPivot je dotazování nezávisle na infrastruktuře Configuration Manager. Pro pomoc správcům zabezpečení obsahuje samostatný CMPivot možnost připojení k Centrum zabezpečení v programu Microsoft Defender.
• Vyhodnocení dotazů na místní zařízení můžete provádět pomocí samostatného nástroje CMPivot.

Uvnitř CMPivotu

CMPivot odesílá dotazy klientům pomocí Configuration Manager "fast channel". Tento komunikační kanál ze serveru do klienta využívají také jiné funkce, jako jsou akce oznámení klienta, stav klienta a služba Endpoint Protection. Klienti vracejí výsledky prostřednictvím podobně rychlého systému stavových zpráv. Stavové zprávy jsou dočasně uloženy v databázi. Další informace o portech používaných pro oznámení klienta najdete v článku Porty .

Dotazy a výsledky jsou jenom text. Entity InstallSoftware a Process vracejí některé z největších sad výsledků. Během testování výkonnosti byla největší velikost souboru stavových zpráv z jednoho klienta pro tyto dotazy menší než 1 kB. Při škálování na velké prostředí s 50 000 aktivními klienty by tento jednorázový dotaz vygeneroval méně než 50 MB dat v síti. Všechny položky na úvodní stránce, které jsou podtržené, vrátí méně než 1 kB informací na klienta.

Od Configuration Manager 1810 může CMPivot dotazovat data inventáře hardwaru, včetně rozšířených tříd inventáře hardwaru. Tyto nové entity (entity, které nejsou podtržené na úvodní stránce) můžou vracet mnohem větší datové sady v závislosti na tom, kolik dat je pro danou vlastnost inventáře hardwaru definováno. Například entita InstalledExecutable může v závislosti na konkrétních datech, na která se dotazujete, vrátit více MB dat na klienta. Při vracení větších sad dat inventáře hardwaru z větších kolekcí pomocí nástroje CMPivot dbejte na výkon a škálovatelnost vašich systémů.

Časový limit dotazu vyprší po jedné hodině. Kolekce má například 500 zařízení a 450 klientů je aktuálně online. Tato aktivní zařízení obdrží dotaz a výsledky vrátí téměř okamžitě. Pokud necháte okno CMPivot otevřené, protože dalších 50 klientů přejde do režimu online, dostanou dotaz také a vrátí výsledky.

Soubory protokolů

Interakce CMPivot se protokolují do následujících souborů protokolu:

Na straně serveru:

• SmsProv.log
• BgbServer.log
• StateSys.log

Na straně klienta:

• CcmNotificationAgent.log
• Scripts.log
• StateMessage.log

Další informace najdete v tématech Soubory protokolů a Řešení potíží s NÁSTROJEM CMPivot.

Další kroky

• Změny v CMPivotu
• Řešení potíží s CMPivotem
• Vytváření a spouštění skriptů PowerShellu