Aracılığıyla paylaş

Kiracı ekleme: CMPivot örnek betikleri

  • Makale

Uygulama hedefi: Configuration Manager (güncel dalı)

Microsoft Intune yönetim merkezinden CMPivot sorguları çalıştırın. Aşağıda birkaç yaygın sorgu gereksinimi ve CMPivot'un bunları karşılamak için nasıl kullanılabileceğini bulabilirsiniz. CMPivot, Kusto Sorgu Dili (KQL) alt kümesini kullanır.

Aşağıda birkaç yaygın sorgu gereksinimi ve CMPivot'un bunları karşılamak için nasıl kullanılabileceğini bulabilirsiniz. CMPivot, Kusto Sorgu Dili (KQL) alt kümesini kullanır.

İşletim sistemi

İşletim sistemi bilgilerini alır.

// Sample query for OS information
OperatingSystem

Son kullanılan uygulamalar

Aşağıdaki sorgu son kullanılan uygulamaları alır (son 2 saat):

CCMRecentlyUsedApplications
| where (LastUsedTime > ago(2h))
| project CompanyName, ProductName, ProductVersion, LastUsedTime

Cihaz başlangıç zamanları

Aşağıdaki sorgu, cihazların son yedi gün içinde ne zaman başlatıldığını gösterir:

OperatingSystem
| where LastBootUpTime <= ago(7d)
| summarize count() by bin(LastBootUpTime,1d)

Boş disk alanı

Aşağıdaki sorguda boş disk alanı gösterilmektedir:

LogicalDisk
| project Device, DeviceID, Name, Description, FileSystem, Size, FreeSpace
| order by DeviceID asc

Cihaz bilgileri

Cihazı, üreticiyi, modeli ve OSVersion'ı göster:

ComputerSystem
| project Device, Manufacturer, Model
| join (OperatingSystem | project Device, OSVersion=Caption)

Bir cihaz için önyükleme süreleri

Cihazlar için önyükleme sürelerini göster:

SystemBootData
| project Device, SystemStartTime, BootDuration, OSStart=EventLogStart, GPDuration, UpdateDuration
| order by SystemStartTime desc

Kimlik doğrulama hataları

Kimlik doğrulama hataları için olay günlüklerinde arama.

EventLog('Security')
| where  EventID == 4673

ProcessModule(<processname>)

Belirli bir işlem tarafından yüklenen tüm modülleri (dll) numaralandırır. ProcessModule, meşru işlemlerde gizlenen kötü amaçlı yazılımları ararken kullanışlıdır.

ProcessModule('powershell')
| summarize count() by ModuleName
| order by count_ desc

Kötü amaçlı yazılımdan koruma yazılımı durumu

Cmdlet tarafından toplanan bilgisayarda yüklü kötü amaçlı yazılımdan koruma yazılımının Get-MpComputerStatus durumunu alır. Varlık, Windows 10 ve Server 2016'da veya defender çalışırken daha sonraki sürümlerde desteklenir. |

EPStatus
| project Device, QuickScanAge=datetime_diff('day',now(),QuickScanEndTime)
| summarize DeviceCount=count() by QuickScanAge

Micro gibi herhangi bir sözcük içeren BIOS Üreticisini bulun

Bios
// Find BIOS Manufacturer that contains any word like Micro, such as Microsoft
| where Manufacturer like '%Micro%'

Dosyayı karmasıyla bulma

Karmaya göre bir dosya arayın.

Device
| join kind=leftouter ( File('%windir%\\system32\\*.exe')
| where SHA256Hash == 'A92056D772260B39A876D01552496B2F8B4610A0B1E084952FE1176784E2CE77')
| project Device, MalwareFound = iif( isnull(FileName), 'No', 'Yes')

Son bir saat içindeki CCM günlüklerinde 'Betikler' bulun

Aşağıdaki sorgu son 1 saat içindeki olayları arar:

CcmLog('Scripts',1h)

Kayıt defterinde bilgi bulma

Kayıt defteri bilgilerini arayın.

// Change the path to match your desired registry hive query
// The RegistryKey entity (added in version 2107) isn't supported with CMPivot for tenant attached devices.  

Registry('hklm:\SOFTWARE\Microsoft\EnterpriseCertificates\Root\Certificates\*')
RegistryKey('hklm:\SOFTWARE\Microsoft\EnterpriseCertificates\Root\Certificates\*')

RegistryKey('hklm:\SOFTWARE\Microsoft\SMS\*')
Registry('hklm:\SOFTWARE\Microsoft\SMS\*')

Sonraki adımlar

Daha fazla bilgi için bkz. Yönetim merkezinden CMPivot başlatma Sorgularınız için varlıklar hakkında daha fazla bilgi için bkz. Microsoft Intune kiracı ekleme: CMPivot kullanımına genel bakış.