Alterações no CMPivot

  • Artigo

Aplica-se a: Configuration Manager (branch atual)

Use as seguintes informações para saber mais sobre as alterações feitas no CMPivot entre Configuration Manager versões:

Alterações de CMPivot para a versão 2107

Requisitos simplificados de permissões CMPivot

Simplificamos os requisitos de permissões CMPivot. As novas permissões são aplicáveis para CMPivot autônomo e CMPivot no console local. As seguintes alterações foram feitas:

  • O CMPivot não exige mais a permissão de leitura de Scripts SMS

  • A permissão de escopo padrão não é necessária.

Melhorias gerais no CMPivot

Fizemos as seguintes melhorias no CMPivot:

  • Adicionados agregadores maxif e minif que podem ser usados com o operador de resumo
  • Melhorias para consultar sugestões de preenchimento automático no editor de consultas
  • Adicionado um valor chave à entidade do Registro
  • Adicionou uma nova entidade RegistryKey que retorna todas as chaves do registro que correspondem à expressão determinada

Para examinar a diferença entre as entidades Registry e RegistryKey, você pode usar os seguintes exemplos:

// Change the path to match your desired registry hive query

Registry('hklm:\SOFTWARE\Microsoft\EnterpriseCertificates\Root\Certificates\*')
RegistryKey('hklm:\SOFTWARE\Microsoft\EnterpriseCertificates\Root\Certificates\*')

RegistryKey('hklm:\SOFTWARE\Microsoft\SMS\*')
Registry('hklm:\SOFTWARE\Microsoft\SMS\*')

Alterações de CMPivot para a versão 2103

A partir da versão 2103, as seguintes melhorias foram feitas para o CMPivot:

Mensagem de aviso e exportar opção de dados CMPivot quando os resultados são muito grandes

Quando os resultados são muito grandes, a seguinte mensagem de aviso é exibida:

Sua consulta retornou um grande número de resultados. Reduza os resultados modificando a consulta ou selecione essa faixa para exportar os resultados.

Essa mensagem ocorre nos seguintes cenários:

  • Quando os resultados são maiores que 100.000 células.

    • Por exemplo, o limite de aviso é atingido para 10.000 dispositivos (linhas) com 10 colunas de dados de entidade.
    • Nesse caso, você terá a opção de exportar resultados para um .csv arquivo

  • Quando mais de 128 KB de dados são solicitados a serem retornados de um determinado dispositivo.

    • Por exemplo, CcmLog('ciagent', 120d) consulta os resultados do log e é provável que esteja acima do limite de 128 KB.
    • Quando os resultados tiverem mais de 128 KB, você receberá um aviso, mas não poderá exportá-los, pois eles não serão retornados do cliente para o servidor.

Acessar as principais consultas compartilhadas no hub comunitário do CMPivot

A partir da versão 2103, você pode acessar as principais consultas CMPivot compartilhadas no hub comunitário do CMPivot local. Usando consultas CMPivot pré-criadas compartilhadas pela comunidade mais ampla, os usuários do CMPivot obtêm acesso a uma variedade mais ampla de consultas. O CMPivot local acessa o hub comunitário e retorna uma lista das principais consultas CMPivot baixadas. Os usuários podem examinar as principais consultas, personalizá-las e, em seguida, executar sob demanda. Esse aprimoramento fornece uma seleção mais ampla de consultas para uso imediato sem precisar construí-las e também permite o compartilhamento de informações sobre como criar consultas para referência futura.

Observação

Essas consultas estão disponíveis quando você executa o CMPivot no console Configuration Manager. Eles ainda não estão disponíveis do CMPivot autônomo.

Pré-requisitos:

Usar o CMPivot para acessar as principais consultas do hub comunitário

  1. Acesse o workspace Ativos e Conformidade e selecione o nó Coleções de Dispositivos .

  2. Selecione uma coleção de destino, dispositivo de destino ou grupo de dispositivos e selecione Iniciar CMPivot na faixa de opções para iniciar a ferramenta.

  3. Use o ícone do hub da comunidade no menu.

    Ícone do hub comunitário

  4. Examine a lista das principais consultas cmpivot compartilhadas.

    Principais consultas CMPivot do hub comunitário

  5. Selecione uma das principais consultas para carregá-la no painel de consulta.

  6. Edite a consulta , se necessário, selecione Executar Consulta.

  7. Opcionalmente, selecione o ícone de pasta para acessar sua lista de favoritos. Adicione a consulta original ou sua versão editada à sua lista de favoritos para ser executada posteriormente. Selecione o ícone do hub da comunidade para pesquisar outra consulta.

  8. Mantenha a janela CMPivot aberta para exibir os resultados dos clientes. Quando você fecha a janela CMPivot, a sessão é concluída. Se a consulta tiver sido enviada, os clientes ainda enviarão uma resposta de mensagem de estado ao servidor.

Alterações de CMPivot para a versão 2006

A partir da versão 2006, as seguintes melhorias foram feitas para o CMPivot:

  • CMPivot autônomo e CMPivot lançados do console de administração convergiram. Quando você inicia o CMPivot do console de administração, ele usa a mesma tecnologia subjacente que o CMPivot autônomo para fornecer paridade de cenário.

  • Melhorias para navegação de teclado no CMPivot.

  • Você pode executar o CMPivot de um dispositivo individual ou vários dispositivos do nó de dispositivos sem a necessidade de selecionar uma coleção de dispositivos. Esse aprimoramento torna mais fácil para pessoas, como aquelas que trabalham como a persona Helpdesk, criar consultas CMPivot para dispositivos específicos fora de uma coleção pré-criada.

    • Selecione um dispositivo individual ou vários dispositivos selecionados em uma coleção de dispositivos ou selecione Iniciar CMPivot.

  • Ao retornar dispositivos dentro de uma exibição de lista de consultas, você pode selecionar o Dinâmica do Dispositivo em um ou mais dispositivos e, em seguida, pivotar e consultar apenas esses dispositivos para fazer a simulação mais adiante. Essa alteração permite que você faça drill in sem consultar o conjunto maior de dispositivos da coleção original. O Pivot do dispositivo substituiu o Pivot para.

    • Em uma operação CMPivot existente, selecione um dispositivo individual ou vários dispositivos selecionados na saída. Clique com o botão direito do mouse e gire usando a opção Dinâmica do Dispositivo . Essa ação inicia uma instância CMPivot separada com escopo apenas para os dispositivos selecionados. Isso torna mais fácil pivotar e apenas consultar em dispositivos desejados sem a necessidade de criar uma coleção para eles.

  • Quando você executa o CMPivot para um dispositivo individual, o nome do dispositivo é listado na parte superior da janela. Para vários dispositivos, o número de dispositivos selecionados está listado na parte superior da janela.

  • A opção Criar Coleção na guia Resumo de Consulta foi removida, pois o CMPivot não requer mais consulta em uma coleção. Execute um Dinâmica de Dispositivo para abrir uma nova instância de CMPivot com escopo apenas para os dispositivos em que você deseja consultar. Create Collection ainda está disponível no menu main.

Pivô do dispositivo para vários dispositivos usando CMPivot

Alterações de CMPivot para a versão 2002

Facilitamos a navegação de entidades CMPivot. A partir de Configuration Manager versão 2002, você pode pesquisar entidades CMPivot. Novos ícones também foram adicionados para diferenciar facilmente as entidades e os tipos de objeto da entidade.

Pesquisar entidades CMPivot

Alterações de CMPivot para a versão 1910

A partir da versão 1910, o CMPivot foi significativamente otimizado para reduzir o tráfego de rede e a carga em seus servidores. Além disso, várias entidades e aprimoramentos de entidade foram adicionados para ajudar na solução de problemas e na caça. As seguintes alterações foram introduzidas para CMPivot na versão 1910:

Otimizações para o mecanismo CMPivot

Para reduzir o tráfego de rede e carregar em seus servidores, o CMPivot foi otimizado em 1910. Muitas operações de consulta agora são executadas diretamente no cliente e não nos servidores. Essa alteração também significa que algumas operações CMPivot retornam dados mínimos da primeira consulta. Se você decidir detalhar os dados para obter mais informações, uma nova consulta poderá ser executada para buscar os dados adicionais do cliente. Por exemplo, anteriormente, um conjunto de dados grande foi retornado ao servidor quando você executou uma consulta "contagem resumida". Embora o retorno de um grande conjunto de dados oferecesse detalhamento imediato, muitas vezes apenas a contagem resumida era necessária. Em 1910, quando você optar por detalhar um cliente específico, outra coleção de dados ocorre para retornar os dados adicionais solicitados. Essa alteração traz melhor desempenho e escalabilidade para consultas em relação a um grande número de clientes.

Exemplos

As otimizações cmpivot reduzem drasticamente a carga de CPU de rede e servidor necessária para executar consultas CMPivot. Com essas otimizações, agora podemos peneirar gigabytes de dados do cliente em tempo real. As consultas a seguir ilustram estas otimizações:

  • Pesquise todos os logs de eventos em todos os clientes da sua empresa em busca de falhas de autenticação.

    EventLog('Security')
| where  EventID == 4673
| summarize count() by Device
| order by count_ desc

  • Pesquise um arquivo por hash.

    Device
| join kind=leftouter ( File('%windir%\\system32\\*.exe')
| where SHA256Hash == 'A92056D772260B39A876D01552496B2F8B4610A0B1E084952FE1176784E2CE77')
| project Device, MalwareFound = iif( isnull(FileName), 'No', 'Yes')

WinEvent(<logname>,[<timespan>])

Essa entidade é usada para obter eventos de logs de eventos e arquivos de log de rastreamento de eventos. A entidade obtém dados de logs de eventos gerados pela tecnologia do Log de Eventos do Windows. A entidade também obtém eventos em arquivos de log gerados pelo Rastreamento de Eventos para ETW (Windows). WinEvent analisa os eventos que ocorreram nas últimas 24 horas por padrão. No entanto, o padrão de 24 horas pode ser substituído incluindo um tempo limite.

WinEvent('Microsoft-Windows-HelloForBusiness/Operational', 1d)
| where LevelDisplayName =='Error'
| summarize count() by Device

FileContent(<filename>)

FileContent é usado para obter o conteúdo de um arquivo de texto.

FileContent('c:\\windows\\SMSCFG.ini')
| where Content startswith  'SMS Unique Identifier='
| project Device, SMSId= substring(Content,22)

ProcessModule(<processname>)

Essa entidade é usada para enumerar os módulos (dlls) carregados por um determinado processo. ProcessModule é útil ao procurar malware que se oculta em processos legítimos.

ProcessModule('powershell')
| summarize count() by ModuleName
| order by count_ desc

AadStatus

Essa entidade pode ser usada para obter as informações atuais de identidade Microsoft Entra de um dispositivo.

AadStatus
| project Device, IsAADJoined=iif( isnull(DeviceId),'No','Yes')
| summarize DeviceCount=count() by IsAADJoined
| render piechart

EPStatus

O EPStatus é usado para obter o status do software antimalware instalado no computador.

EPStatus
| project Device, QuickScanAge=datetime_diff('day',now(),QuickScanEndTime)
| summarize DeviceCount=count() by QuickScanAge
| order by QuickScanAge
| render barchart

Avaliação de consulta de dispositivo local usando CMPivot autônomo

Ao usar o CMPivot fora do console Configuration Manager, você pode consultar apenas o dispositivo local sem a necessidade da infraestrutura Configuration Manager. Agora você pode aproveitar as consultas do CMPivot Azure Log Analytics para exibir rapidamente as informações de WMI no dispositivo local. Isso também permite a validação e o refinamento de consultas CMPivot, antes de executá-las em um ambiente maior. O CMPivot autônomo só está disponível em inglês. Para obter mais informações sobre o CMPivot autônomo, consulte CMPivot autônomo.

Problemas conhecidos para avaliação de consulta de dispositivo local

  • Se você consultar neste computador uma entidade WMI à qual não tem acesso, como uma classe WMI bloqueada, poderá ver uma falha no CMPivot. Execute o CMPivot usando uma conta com privilégios elevados para consultar essas entidades.
  • Se você consultar entidades não WMI neste computador, verá um namespace inválido ou uma exceção ambígua.
  • Execute CMPivot autônomo no atalho do menu inicial, não diretamente do caminho do arquivo executável.

Outros aprimoramentos

  • Você pode fazer consultas de tipo de expressão regular usando o novo like operador. Por exemplo:

    //Find BIOS manufacture that contains any word like Micro, such as Microsoft
Bios
| where Manufacturer like '%Micro%'

  • Atualizamos as entidades CcmLog() e EventLog() para examinar apenas as mensagens nas últimas 24 horas por padrão. Esse comportamento pode ser substituído passando uma data/hora opcional. Por exemplo, a consulta a seguir examinará os eventos nas últimas 1 hora:

    CcmLog('Scripts',1h)

  • A entidade File() foi atualizada para coletar informações sobre arquivos ocultos e do sistema e incluir o hash MD5. Embora um hash MD5 não seja tão preciso quanto o hash SHA256, ele tende a ser o hash comumente relatado na maioria dos boletins de malware.

  • Você pode adicionar comentários em consultas. Esse comportamento é útil ao compartilhar consultas. Por exemplo:

    //Get the top ten devices sorted by user
Device
| top 10 by UserName

  • O CMPivot se conecta automaticamente ao último site. Depois de iniciar o CMPivot, você pode se conectar a um novo site, se necessário.

  • No menu Exportar , selecione a nova opção para consultar o link para a área de transferência. Essa ação copia um link para a área de transferência que você pode compartilhar com outras pessoas. Por exemplo:

    cmpivot:Ly8gU2FtcGxlIHF1ZXJ5DQpPcGVyYXRpbmdTeXN0ZW0NCnwgc3VtbWFyaXplIGNvdW50KCkgYnkgQ2FwdGlvbg0KfCBvcmRlciBieSBjb3VudF8gYXNjDQp8IHJlbmRlciBiYXJjaGFydA==

    Este link abre o CMPivot autônomo com a seguinte consulta:

    // Sample query
OperatingSystem
| summarize count() by Caption
| order by count_ asc
| render barchart

    Dica

    Para que esse link funcione, instale o CMPivot autônomo.

  • Nos resultados da consulta, se o dispositivo estiver registrado no Microsoft Defender para Ponto de Extremidade, clique com o botão direito do mouse no dispositivo para iniciar o Central de Segurança do Microsoft Defender portal online.

Problemas conhecidos para CMPivot na versão 1910

  • A faixa de resultados máximos pode não ser exibida quando o limite é atingido.
    • Cada cliente é limitado a 128 KB em dados por consulta.
    • Os resultados poderão ser truncados se os resultados da consulta excederem 128 KB.

Alterações de CMPivot para a versão 1906

A partir da versão 1906, os seguintes itens foram adicionados ao CMPivot:

Adicionar junções, operadores adicionais e agregadores no CMPivot

Agora você tem operadores aritméticos adicionais, agregadores e a capacidade de adicionar junções de consulta, como usar Registro e Arquivo juntos. Os seguintes itens foram adicionados:

Operadores de tabela

Operadores de tabela Descrição
Juntar Mesclar as linhas de duas tabelas para formar uma nova tabela combinando linha para o mesmo dispositivo
render Renderiza resultados como saída gráfica

O operador de renderização já existe no CMPivot. O suporte para várias séries e a instrução com foram adicionados. Para obter mais informações, confira a seção exemplos e o artigo operador de junção do Kusto.

Limitações para junções

  1. A coluna de junção é sempre feita implicitamente no campo Dispositivo .
  2. Você pode usar um máximo de 5 junções por consulta.
  3. Você pode usar um máximo de 64 colunas combinadas.

Operadores escalares

Operador Descrição Exemplo
+ Adicionar 2 + 1, now() + 1d
- Subtrair 2 - 1, now() - 1d
* Multiplicar 2 * 2
/ Dividir 2 / 1
% Módulo 2 % 1

Funções de agregação

Função Descrição
percentile() Retorna uma estimativa para o percentil de classificação mais próximo especificado da população definida pelo Expr
sumif() Retorna uma soma de Expr para a qual o Predicate avalia como true

Funções escalares

Função Descrição
case() Avalia uma lista de predicados e retorna a primeira expressão de resultado cujo predicado está satisfeito
iff() Avalia o primeiro argumento e retorna o valor do segundo ou terceiro argumentos, dependendo se o predicado foi avaliado como true (segundo) ou false (terceiro)
indexof() A função relata o índice baseado em zero da primeira ocorrência de uma cadeia de caracteres especificada na cadeia de caracteres de entrada
strcat() Concatena entre 1 e 64 argumentos
strlen() Retorna o comprimento, em caracteres, da cadeia de caracteres de entrada
substring() Extrai uma substring de uma cadeia de caracteres de origem começando de algum índice até o final da cadeia de caracteres
tostring() Converte a entrada em uma operação de cadeia de caracteres

Exemplos

  • Mostrar dispositivo, fabricante, modelo e OSVersion:

    ComputerSystem
| project Device, Manufacturer, Model
| join (OperatingSystem | project Device, OSVersion=Caption)

  • Mostrar grafo de tempos de inicialização para um dispositivo:

    SystemBootData
| where Device == 'MyDevice'
| project SystemStartTime, BootDuration, OSStart=EventLogStart, GPDuration, UpdateDuration
| order by SystemStartTime desc
| render barchart with (kind=stacked, title='Boot times for MyDevice', ytitle='Time (ms)')

    Gráfico de barras empilhadas mostrando os horários de inicialização de um dispositivo em ms

Permissões cmpivot adicionadas à função administrador de segurança

A partir da versão 1906, as seguintes permissões foram adicionadas à função interna de Administrador de Segurança do Configuration Manager:

  • Ler no Script de SMS
  • Executar CMPivot na Coleção
  • Leitura no Relatório de Inventário

Observação

Executar Scripts é um super conjunto da permissão Executar CMPivot .

CMPivot autônomo

Você pode usar o CMPivot como um aplicativo autônomo. O CMPivot autônomo só está disponível em inglês. Execute o CMPivot fora do console Configuration Manager para exibir o estado em tempo real dos dispositivos em seu ambiente. Essa alteração permite que você use o CMPivot em um dispositivo sem antes instalar o console.

Você pode compartilhar o poder do CMPivot com outras personas, como auxiliares ou administradores de segurança, que não têm o console instalado em seu computador. Essas outras personas podem usar o CMPivot para consultar Configuration Manager ao lado das outras ferramentas que tradicionalmente usam. Ao compartilhar esses dados de gerenciamento avançados, você pode trabalhar em conjunto para resolver proativamente problemas de negócios que cruzam funções.

Instalar o CMPivot autônomo

  1. Configure as permissões necessárias para executar o CMPivot. Para obter mais informações, confira pré-requisitos. Você também pode usar a função administrador de segurança se as permissões forem apropriadas para o usuário.

  2. Encontre o instalador do aplicativo CMPivot no seguinte caminho: <site install path>\tools\CMPivot\CMPivot.msi. Você pode executá-lo desse caminho ou copiá-lo para outro local.

  3. Ao executar o aplicativo autônomo CMPivot, você será solicitado a se conectar a um site. Especifique o nome de domínio ou o nome do computador totalmente qualificado da Administração Central ou do servidor de site primário.

    • Sempre que você abrir o CMPivot autônomo, será solicitado que você se conecte a um servidor de site.

  4. Navegue até a coleção na qual você deseja executar o CMPivot e execute sua consulta.

    Navegue até a coleção em que você deseja executar sua consulta

Observação

  • Ações com o botão direito do mouse, como Executar Scripts, Explorer de Recursos e pesquisa na Web não estão disponíveis no CMPivot autônomo. O principal uso autônomo do CMPivot é consultar independentemente da infraestrutura Configuration Manager. Para ajudar os administradores de segurança, o CMPivot autônomo inclui a capacidade de se conectar a Central de Segurança do Microsoft Defender.
  • Você pode fazer a avaliação de consulta de dispositivo local usando CMPivot autônomo.

Alterações de CMPivot para a versão 1902

A partir de Configuration Manager versão 1902, você pode executar o CMPivot no CAS (site de administração central) em uma hierarquia. O site primário ainda manipula a comunicação com o cliente. Ao executar o CMPivot do site de administração central, ele se comunica com o site primário pelo canal de assinatura de mensagens de alta velocidade. Essa comunicação não depende da replicação de SQL Server padrão entre sites.

Executar o CMPivot no CAS exigirá permissões adicionais quando SQL Server ou o Provedor de SMS não estiverem no mesmo computador ou no caso de SQL Server Always On configuração do grupo de disponibilidade. Com essas configurações remotas, você tem um "cenário de salto duplo" para CMPivot.

Para fazer com que o CMPivot trabalhe no CAS em um "cenário de salto duplo", você pode definir a delegação restrita. Para entender as implicações de segurança dessa configuração, leia o artigo delegação restrita kerberos . Kerberos precisa trabalhar em todos os saltos entre as máquinas.Se você tiver mais de uma configuração remota, como SQL Server ou provedor de SMS sendo colocado com o CAS ou não, ou várias florestas confiáveis, você poderá exigir uma combinação de configurações de permissão. Veja abaixo as etapas que talvez seja necessário tomar:

O CAS tem um SQL Server remoto

  1. Acesse o SQL Server de cada site primário.

    1. Adicione o SQL Server remoto CAS e o servidor de site CAS ao grupo Configmgr_DviewAccess. Configmgr_DviewAccess grupo no SQL Server de um site primário

  2. Vá para Usuários e Computadores do Active Directory.

    1. Para cada servidor de site primário, clique com o botão direito do mouse e selecione Propriedades.
      1. Na guia delegação, escolha a terceira opção, confie neste computador para delegação somente para serviços especificados.
      2. Escolha Usar Kerberos somente.
      3. Adicione o serviço de SQL Server do CAS com a porta e a instância.
      4. Verifique se essas alterações estão alinhadas com a política de segurança da sua empresa!
    2. Para o site cas, clique com o botão direito do mouse e selecione Propriedades.
      1. Na guia delegação, escolha a terceira opção, confie neste computador para delegação somente para serviços especificados.
      2. Escolha Usar Kerberos somente.
      3. Adicione o serviço SQL Server de cada site primário com a porta e a instância.
      4. Verifique se essas alterações estão alinhadas com a política de segurança da sua empresa!

    Exemplo de delegação do CMPivot AD para saltos duplos

O CAS tem um provedor remoto

  1. Acesse o SQL Server de cada site primário.
    1. Adicione a conta do computador provedor CAS e o servidor de site CAS ao grupo Configmgr_DviewAccess .
  2. Vá para Usuários e Computadores do Active Directory.
    1. Selecione o computador provedor CAS, clique com o botão direito do mouse e selecione Propriedades.
      1. Na guia delegação, escolha a terceira opção, confie neste computador para delegação somente para serviços especificados.
      2. Escolha Usar Kerberos somente.
      3. Adicione o serviço SQL Server de cada site primário com a porta e a instância.
      4. Verifique se essas alterações estão alinhadas com a política de segurança da sua empresa!
    2. Selecione o servidor de site cas, clique com o botão direito do mouse e selecione Propriedades.
      1. Na guia delegação, escolha a terceira opção, confie neste computador para delegação somente para serviços especificados.
      2. Escolha Usar Kerberos somente.
      3. Adicione o serviço SQL Server de cada site primário com a porta e a instância.
      4. Verifique se essas alterações estão alinhadas com a política de segurança da sua empresa!
  3. Reinicie o computador do provedor remoto CAS.

SQL Server Always On grupos de disponibilidade

  1. Acesse o SQL Server de cada site primário.
    1. Adicione o servidor de site CAS ao grupo Configmgr_DviewAccess .
  2. Vá para Usuários e Computadores do Active Directory.
    1. Para cada servidor de site primário, clique com o botão direito do mouse e selecione Propriedades.
      1. Na guia delegação, escolha a terceira opção, confie neste computador para delegação somente para serviços especificados.
      2. Escolha Usar Kerberos somente.
      3. Adicione as contas de serviço SQL Server do CAS para os nós SQL Server com porta e instância.
      4. Verifique se essas alterações estão alinhadas com a política de segurança da sua empresa!
    2. Selecione o servidor de site cas, clique com o botão direito do mouse e selecione Propriedades.
      1. Na guia delegação, escolha a terceira opção, confie neste computador para delegação somente para serviços especificados.
      2. Escolha Usar Kerberos somente.
      3. Adicione o serviço SQL Server de cada site primário com a porta e a instância.
      4. Verifique se essas alterações estão alinhadas com a política de segurança da sua empresa!
  3. Verifique se o SPN foi publicado para o nome do ouvinte CAS e cada nome do ouvinte primário.
  4. Reinicie os nós de SQL Server primários.
  5. Reinicie o servidor de site cas e os nós SQL Server CAS.

Alterações de CMPivot para a versão 1810

O CMPivot inclui as seguintes melhorias a partir de Configuration Manager versão 1810:

Utilitário cmpivot e desempenho

  • O CMPivot retornará até 100.000 células em vez de 20.000 linhas.

    • Se a entidade tiver 5 propriedades, ou seja, 5 colunas, até 20.000 linhas serão mostradas.
    • Para uma entidade com 10 propriedades, até 10.000 linhas serão mostradas.
    • O total de dados mostrados será menor ou igual a 100.000 células.

  • Na guia Resumo da Consulta, selecione a contagem de dispositivos com falha ou offline e selecione a opção Criar Coleção. Essa opção facilita o destino desses dispositivos com uma implantação de correção.

    • Essa opção foi removida na versão 2006, pois o CMPivot não requer mais consulta em uma coleção.

  • Salve consultas favoritas clicando no ícone da pasta. Exemplo de salvar uma consulta favorita no CMPivot

  • Os clientes atualizados para a versão 1810 retornam saída inferior a 80 KB para o site por meio de um canal de comunicação rápido.

    • Essa alteração aumenta o desempenho da exibição de script ou saída de consulta.
    • Se a saída de script ou consulta for maior que 80 KB, o cliente enviará os dados por meio de uma mensagem de estado.
    • Se o cliente não for atualizado para a versão do cliente 1810, ele continuará a usar mensagens de estado.

  • Você pode ver o seguinte erro ao iniciar o CMPivot: você não pode usar o CMPivot agora devido a uma versão de script incompatível. Esse problema pode ser porque a hierarquia está no processo de atualização de um site. Aguarde até que a atualização seja concluída e tente novamente.

    • Se você vir esta mensagem, pode significar:
      • O escopo de segurança não está configurado corretamente.
      • Há problemas com a Atualização no processo.
      • O script CMPivot subjacente é incompatível.

Funções escalares

O CMPivot dá suporte às seguintes funções escalares:

  • ago(): subtrai o tempo limite determinado do tempo de relógio UTC atual
  • datetime_diff(): calcula a diferença de calendário entre dois valores datetime
  • now(): Retorna a hora atual do relógio UTC
  • bin(): arredonda os valores para baixo para um inteiro múltiplo de um determinado tamanho de lixeira

Observação

O tipo de dados datetime representa um instante no tempo, normalmente expresso como uma data e hora do dia. Os valores de tempo são medidos em unidades de 1 segundo. Um valor de datetime está sempre no fuso horário UTC. Literais de hora de data sempre expressos no formato ISO 8601, por exemplo, yyyy-mm-dd HH:MM:ss

Exemplos

  • datetime(2015-12-31 23:59:59.9): um literal de hora de data específica
  • now(): a hora atual
  • ago(1d): a hora atual menos um dia

Renderizando visualizações

O CMPivot agora inclui suporte básico para o operador de renderização KQL. Esse suporte inclui os seguintes tipos:

  • barchart: a primeira coluna é do eixo x e pode ser texto, datetime ou numérico. As segundas colunas devem ser numéricas e são exibidas como uma faixa horizontal.
  • columnchart: como barchart, com tiras verticais em vez de tiras horizontais.
  • piechart: a primeira coluna é de eixo de cor, a segunda coluna é numérica.
  • timechart: gráfico de linha. A primeira coluna é do eixo x e deve ser datetime. A segunda coluna é o eixo y.

Exemplo: gráfico de barras

A consulta a seguir renderiza os aplicativos usados mais recentemente como um gráfico de barras:

CCMRecentlyUsedApplications
| summarize dcount( Device ) by ProductName
| top 10 by dcount_
| render barchart

Exemplo de visualização do gráfico de barras CMPivot

Exemplo: gráfico de tempo

Para renderizar gráficos de tempo, use o novo operador bin() para agrupar eventos a tempo. A consulta a seguir mostra quando os dispositivos começaram nos últimos sete dias:

OperatingSystem
| where LastBootUpTime <= ago(7d)
| summarize count() by bin(LastBootUpTime,1d)
| render timechart

Exemplo de visualização do gráfico de tempo CMPivot

Exemplo: gráfico de pizza

A consulta a seguir exibe todas as versões do sistema operacional em um gráfico de pizza:

OperatingSystem
| summarize count() by Caption
| render piechart

Exemplo de visualização de gráfico de pizza CMPivot

Inventário de hardware

Use CMPivot para consultar qualquer classe de inventário de hardware. Essas classes incluem todas as extensões personalizadas que você faz no inventário de hardware. O CMPivot retorna imediatamente os resultados armazenados em cache da última verificação de inventário de hardware armazenada no banco de dados do site. Ao mesmo tempo, atualiza os resultados, se necessário, com dados ao vivo de clientes online.

A saturação de cores dos dados na tabela ou gráfico de resultados indica se os dados estão em tempo real ou armazenados em cache. Por exemplo, azul escuro é dados em tempo real de um cliente online. Azul claro é dados armazenados em cache.

Exemplo

LogicalDisk
| summarize sum( FreeSpace ) by Device
| order by sum_ desc
| render columnchart

Exemplo de consulta de inventário CMPivot com visualização do gráfico de colunas

Limitações

  • As seguintes entidades de inventário de hardware não têm suporte:
    • Propriedades da matriz, por exemplo, endereço IP
    • Real32/Real64
    • Propriedades do objeto inserido
  • Os nomes da entidade de inventário devem começar com um caractere
  • Você não pode substituir as entidades internas criando uma entidade de inventário com o mesmo nome

Operadores escalares

O CMPivot inclui os seguintes operadores escalares:

Observação

  • LHS: cadeia de caracteres à esquerda do operador
  • RHS: cadeia de caracteres à direita do operador
Operador Descrição Exemplo (produz true)
== Igual a "aBc" == "aBc"
!= Não é igual "abc" != "ABC"
como O LHS contém uma correspondência para RHS "FabriKam" like "%Brik%"
!Como O LHS não contém uma correspondência para RHS "Fabrikam" !like "%xyz%"
contains O RHS ocorre como uma subsequência de LHS "FabriKam" contains "BRik"
!Contém O RHS não ocorre no LHS "Fabrikam" !contains "xyz"
startswith RHS é uma subsequência inicial do LHS "Fabrikam" startswith "fab"
!Startswith RHS não é uma subsequência inicial do LHS "Fabrikam" !startswith "kam"
endswith RHS é uma subsequência de fechamento do LHS "Fabrikam" endswith "Kam"
!Endswith RHS não é uma subsequência de fechamento do LHS "Fabrikam" !endswith "brik"

Resumo da consulta

Selecione a guia Resumo da Consulta na parte inferior da janela CMPivot. Esse status ajuda você a identificar clientes offline ou solucionar erros que possam ocorrer. Selecione um valor na coluna Contagem para abrir uma lista de dispositivos específicos com esse status.

Por exemplo, selecione a contagem de dispositivos com um status de falha. Consulte a mensagem de erro específica e exporte uma lista desses dispositivos. Se o erro for que um cmdlet específico não é reconhecido, crie uma coleção da lista de dispositivos exportados para implantar uma atualização Windows PowerShell.

Mensagens de status de auditoria do CMPivot

A partir da versão 1810, quando você executa o CMPivot, uma mensagem de auditoria status é criada com MessageID 40805. Você pode exibir as mensagens status acessando consultasdemensagem destatus> do sistema de monitoramento>. Você pode executar Todas as mensagens de auditoria status para um usuário específico, todas as mensagens de auditoria status para um site específico ou criar sua própria consulta de mensagem status.

O seguinte formato é usado para a mensagem:

MessageId 40805: UserName do usuário <executou script <Script-Guid> com hash <Script-Hash> na coleção <Collection-ID>.>

  • 7DC6B6F1-E7F6-43C1-96E0-E1D16BC25C14 é o Script-Guid para CMPivot.
  • O Script-Hash pode ser visto no arquivo scripts.log do cliente.
  • Você também pode ver o hash armazenado no repositório de scripts do cliente. O nome do arquivo no cliente é <Script-Guid>_<Script-Hash>.
    • Nome do arquivo de exemplo: C:\Windows\CCM\ScriptStore\7DC6B6F1-E7F6-43C1-96E0-E1D16BC25C14_abc1d23e45678901fabc123d456ce789fa1b2cd3e456789123fab4c56789d0123.ps

Exemplo de mensagem status auditoria cmpivot

Próximas etapas

Solução de problemas do CMPivot