Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Gäller för: Configuration Manager (aktuell gren)
Kör CMPivot-frågor från Microsoft Intune administrationscenter. Nedan visas några vanliga frågebehov och hur CMPivot kan användas för att uppfylla dem. CMPivot använder en delmängd av Kusto-frågespråk (KQL).
Nedan visas några vanliga frågebehov och hur CMPivot kan användas för att uppfylla dem. CMPivot använder en delmängd av Kusto-frågespråk (KQL).
Operativsystem
Hämtar information om operativsystemet.
// Sample query for OS information
OperatingSystem
Nyligen använda program
Följande fråga hämtar nyligen använda program (de senaste 2 timmarna):
CCMRecentlyUsedApplications
| where (LastUsedTime > ago(2h))
| project CompanyName, ProductName, ProductVersion, LastUsedTime
Enhetens starttider
Följande fråga visar när enheterna startades under de senaste sju dagarna:
OperatingSystem
| where LastBootUpTime <= ago(7d)
| summarize count() by bin(LastBootUpTime,1d)
Ledigt diskutrymme
Följande fråga visar ledigt diskutrymme:
LogicalDisk
| project Device, DeviceID, Name, Description, FileSystem, Size, FreeSpace
| order by DeviceID asc
Enhetsinformation
Visa enhet, tillverkare, modell och OSVersion:
ComputerSystem
| project Device, Manufacturer, Model
| join (OperatingSystem | project Device, OSVersion=Caption)
Starttider för en enhet
Visa starttider för enheter:
SystemBootData
| project Device, SystemStartTime, BootDuration, OSStart=EventLogStart, GPDuration, UpdateDuration
| order by SystemStartTime desc
Autentiseringsfel
Sök i händelseloggarna efter autentiseringsfel.
EventLog('Security')
| where EventID == 4673
ProcessModule(<processname>)
Räknar upp alla moduler (dlls) som läses in av en viss process. ProcessModule är användbart när du letar efter skadlig kod som döljs i legitima processer.
ProcessModule('powershell')
| summarize count() by ModuleName
| order by count_ desc
Programstatus för program mot skadlig kod
Hämtar status för program mot skadlig kod som installerats på datorn som samlats in av cmdleten Get-MpComputerStatus . Entiteten stöds på Windows 10 och Server 2016, eller senare med Defender igång. |
EPStatus
| project Device, QuickScanAge=datetime_diff('day',now(),QuickScanEndTime)
| summarize DeviceCount=count() by QuickScanAge
Hitta BIOS-tillverkare som innehåller ord som Micro
Bios
// Find BIOS Manufacturer that contains any word like Micro, such as Microsoft
| where Manufacturer like '%Micro%'
Sök efter fil med dess hash
Sök efter en fil med hash.
Device
| join kind=leftouter ( File('%windir%\\system32\\*.exe')
| where SHA256Hash == 'A92056D772260B39A876D01552496B2F8B4610A0B1E084952FE1176784E2CE77')
| project Device, MalwareFound = iif( isnull(FileName), 'No', 'Yes')
Hitta "Skript" i CCM-loggarna under den senaste timmen
Följande fråga tittar på händelser under de senaste 1 timmen:
CcmLog('Scripts',1h)
Hitta information i registret
Sök efter registerinformation.
// Change the path to match your desired registry hive query
// The RegistryKey entity (added in version 2107) isn't supported with CMPivot for tenant attached devices.
Registry('hklm:\SOFTWARE\Microsoft\EnterpriseCertificates\Root\Certificates\*')
RegistryKey('hklm:\SOFTWARE\Microsoft\EnterpriseCertificates\Root\Certificates\*')
RegistryKey('hklm:\SOFTWARE\Microsoft\SMS\*')
Registry('hklm:\SOFTWARE\Microsoft\SMS\*')
Nästa steg
Mer information finns i Starta CMPivot från administrationscentret Mer information om entiteter för dina frågor finns i Microsoft Intune klientkoppling: översikt över CMPivot-användning.