22、ConfigMgr 报告与客户端监控全攻略

ConfigMgr 报告与客户端监控全攻略

1. 报告订阅

报告能让你快速访问有关 ConfigMgr 环境的全面数据。有些报告无需频繁访问，而有些则需定期运行，以便持续了解日常情况。订阅功能在此就显得极为重要。

订阅可让你按计划自动运行报告，并通过多种方式交付，使你无需手动运行每份报告就能随时获取最新报告数据。例如，反恶意软件定义报告可每日运行，查看反恶意软件代理的合规状态能让你在问题恶化前及时察觉。

创建新报告订阅的步骤如下：
1. 在控制台中，导航至“Monitoring > Reporting > Reports > Software Updates – A Compliance”。
2. 右键单击“Compliance 1 – Overall compliance”报告，选择“Create Subscription”。
3. 对于订阅交付选项，使用表 1 中的信息填充订阅参数。

注意 ：创建新报告订阅时，需在 CM01 上创建一个名为“E: \ Reports”的新文件夹，并将该文件夹共享为“reports”，使 UNC 路径“\ CM01\Reports”有效。

4. 点击“Next”，并使用以下参数创建订阅计划：
   • 每周
   • 每 1 周重复
   • 星期：星期一
   • 开始时间：上午 8:30
5. 点击“Next”，指定以下报告参数：
   • 更新组：MoL - Windows 10 Updates
   • 集合：PS100014 - All Windows 10 Clients
6. 一直点击到最后，你就创建了一个新订阅。
7. 导航至“Reports > Subscriptions”，你将看到新创建的订阅。

交付方法选项	选项值
报告交付方式	Windows 文件共享
文件名	Windows10UpdateCompliance
创建时添加文件扩展名	勾选
路径	\CM01\Reports
呈现格式	包含报告数据的 XML 文件
用户名	MOL\Administrator
密码
覆盖选项	新增较新文件时递增文件名

基于你创建的计划，每周会在“\ CM01\Reports”中创建一个 XML 文件。但如果你想要更便捷的方式，订阅也可交付到你的邮箱。不过在此之前，你需让 ConfigMgr 能够与邮件服务器通信，具体操作如下：
1. 在 CM01 上，转到“Start > Reporting Services Configuration Manager”。
2. 连接到“CM01\ MSSQLSERVER”，并导航至“Email Settings”。
3. 输入发件人地址和有效的简单邮件传输协议 (SMTP) 服务器名称。选择“Apply”并关闭 RS 配置管理器。
4. 返回 ConfigMgr 控制台，转到“Monitoring > Reporting > Subscriptions”。
5. 右键单击订阅并选择“Properties”。将“Report delivered by”选项从“Windows File Share”更改为“Email”。

现在你就可以通过电子邮件定期发送报告给自己或组织中需要了解 ConfigMgr 日常情况的其他人。

2. 自定义报告

ConfigMgr 中的内置报告旨在涵盖广泛的报告场景，但总会有自定义报告的需求。不同公司的不同用户对各种数据感兴趣，且希望以多种方式呈现，内置报告无法满足所有场景。

由于 ConfigMgr 报告基于 SSRS，具备一定知识后，你可以轻松创建自定义报告以满足内部业务需求。例如，“Antimalware overall status and history”端点报告可显示特定时间段（通常为一周）内 SCEP 客户端的状态，这对安排报告很有用，能让你快速了解反恶意软件部署的健康状况。但问题是，若要安排该报告，输入参数包含开始和结束日期，这对于一次性报告没问题，但安排定期报告时，你可能希望指定动态时间范围（如“过去 7 天”），而内置报告没有此选项，此时创建自定义报告就能解决问题。

编写自定义报告的步骤如下：
1. 选择“Monitoring > Reporting > Reports > Endpoint Protection”。
2. 右键单击“Antimalware overall status and history”并选择“Edit”。
3. 这将导致 SQL Server Report Builder 从 SSRS 下载并运行。
4. 在左侧的“Report Data”下，展开“Parameters”并选择“StartDate”。
5. 右键单击“StartDate”并选择“Parameter Properties”。
6. 在“General”选项卡上，将“Select parameter visibility”选项从“Visible”更改为“Hidden”。
7. 在“Available Values”选项卡上，选择“Get values from a query”：
- 数据集：DateRange
- 值字段：StartDate
- 标签字段：StartDate
8. 点击“OK”保存更改，然后对“EndDate”参数重复上述过程：
- 数据集：DateRange
- 值字段：EndDate
- 标签字段：EndDate
9. 选择左上角的 SQL Server 图标并选择“Save As”。
10. 将报告保存到原始文件夹，命名为“Antimalware overall status and history - Last 7 days”，然后关闭 Report Builder。
11. 返回控制台，刷新“Endpoint Protection”文件夹中的报告，你将看到新创建的报告。
12. 运行报告，你只需输入集合参数，开始和结束日期字段将隐藏并自动从“DateRange”数据集填充。你可以为此报告创建订阅，开始和结束日期将根据报告运行的日期计算。

提示 ：处理内置资源（如报告或任何应用程序中的资源）时，最佳做法是制作副本并将所有更改保存到副本中，这样在需要回滚自定义更改时，你始终有未修改的原始版本。

3. 软件计量启用

假设 Paint.NET 是一款昂贵的应用程序（实际上它是免费的），你的公司每年在许可证上花费大量资金。管理层希望你查明谁在使用该产品，以确定是否可以在确保用户正常使用的前提下减少许可证数量（从而降低成本）。

软件计量代理是 ConfigMgr 代理的一个独立组件，可监控正在使用的应用程序。在 CLIENT01 上，从控制面板启动 ConfigMgr 客户端属性，你会在“Components”下看到“Software Metering”。软件计量在客户端层面处理，由服务器决定需要收集哪些信息以及多久将其发送回中央数据库。

软件计量依赖于软件清单，因此要使用计量功能，你必须在客户端上启用软件清单。在 CM01 上打开控制台，导航至“Assets and Compliance > Software Metering”，控制台会显示已盘点应用程序的信息，如文件名和版本详细信息。

每个盘点的应用程序都会自动创建一个计量规则，但这些规则默认是禁用的。若要查看计量规则，找到为 Paint.NET 创建的规则，右键单击该规则并选择“Properties”，规则的主要组件是可执行文件的名称和文件版本。需要注意的是，可使用通配符代替绝对值，例如，若要监控 Paint.NET 4 的任何版本，可将版本字符串更改为“4.*”。

启用计量规则的步骤如下：
1. 右键单击规则，选择“Enable”。对 Notepad.exe 的规则执行相同操作（现在你已启用两个规则）。
2. 登录到 CLIENT01，从 ConfigMgr 代理属性中触发“Machine Policy Retrieval & Evaluation Cycle”（新的计量规则代表机器策略的更改）。
3. 确保 Paint.NET 已安装但未启动。
4. 启动 Paint.NET 和 Notepad。虽然你不会看到明显变化，但 ConfigMgr 的日志会在后台记录相关信息。

注意 ：客户端上的软件计量事件记录在“mtrmgr.log”中。该日志会显示每个活动进程是否与活动计量规则匹配。若匹配，日志将显示“Found match against RuleID ”，其中 是计量规则的分配 ID；若不匹配，日志将显示“No matching rule found for process ”，其中 是 Windows 进程 ID。

5. 查看“mtrmgr.log”，你应看到 PaintDotNet.exe 和 Notepad.exe 与匹配的计量规则 ID 的条目。关闭应用程序时，进程终止也会被记录。

默认情况下，ConfigMgr 客户端每 7 天收集一次计量信息，并通过关联的管理点将其发送回中央服务器。你可以在客户端设置中更改此时间间隔，也可以强制触发该过程以观察其工作情况。

6. 在 CLIENT01 上，启动 Configuration Manager 代理并转到“Actions”，运行“Software Metering Usage Report Cycle”操作。

注意 ：客户端将软件计量报告发送回 ConfigMgr 层次结构时，事件记录在“swmproc.log”中。

7. 在 CM01 上，打开“swmproc.log”，查看 CLIENT01 上记录的软件计量事件是否已上传到服务器。

现在客户端已将计量数据上传到 ConfigMgr 数据库，你可以通过报告直观了解情况。导航至“Monitoring > Reporting”并展开“Reports”节点，你会看到一个专门的“Software Metering”类别。若要运行关于活动计量规则的报告，使用以下值运行“Report Computers that have run a specific metered software program”：
- 规则名称：Microsoft Windows Operating System - NOTEPAD.EXE - 10. (1033)
- 月份：最新值（例如，5）
- 年份：最新值（例如，2015）

该报告将详细列出计量事件的数量以及平均指标，如应用程序的使用时间和每次使用的平均时长。花些时间研究软件计量报告，了解提取计量数据的各种选项。在实验室环境中，由于数据较少，报告可能内容不多，但在生产环境中，计量报告将迅速显示丰富的历史数据。

4. 合规性配置

合规性是一项颇具挑战性的工作，许多组织并未完全理解或有效实施。合规性的理念是制定一套规则，定义环境中受管理系统的外观或功能，然后让合规性平台（如 ConfigMgr）定期测试这些规则并纠正不合规情况。

为了说明合规性的工作原理，我们创建一个虚构场景。用户经常向帮助台抱怨无法打印，经调查发现 Windows 打印后台处理程序服务已停止，启动该服务可解决问题。显然有某些因素导致此问题，需要进行调查。通过使用合规性，你可以了解问题的严重程度，并减少用户影响和帮助台呼叫。具体步骤如下：

4.1 创建配置项

配置项定义了你要测试的规则以及如何纠正不合规情况（如果适用）。一个或多个配置项将组合成一个基线进行部署。

为用户的打印问题创建规则的步骤如下：
1. 导航至“Assets and Compliance > Compliance Settings > Configuration Items”。
2. 右键单击并选择“Create Configuration Item”。
3. 将项目命名为“Windows Print Spooler Service”，然后点击“Next”。
4. 对于 Windows 版本，取消选择除“All Windows 10 and higher”之外的所有版本。点击“Summary”，然后点击“Next to finish”。

此时你已创建一个新的配置项，但没有设置或规则，它的作用不大。接下来让它更具功能性：
5. 右键单击配置项并选择“Properties”。
6. 转到“Settings”选项卡，选择“New”。
7. 使用以下值配置新设置的“General”选项卡：
- 名称：Print Spooler Running State
- 设置类型：脚本
- 数据类型：字符串
- 添加脚本，发现脚本，脚本语言：Windows PowerShell
- 发现脚本，代码：(Get-Service -Name Spooler).Status
8. 导航至“Compliance Rules”选项卡，创建一个新规则并配置如下：
- 名称：Print Spooler Service Running
- 规则类型：值
- 指定脚本返回的值：Running
- 报告不合规情况：勾选
- 不合规严重程度：警告
9. 点击“OK”保存所有设置并关闭配置项。

你创建了一个使用简单 PowerShell 脚本定义的新设置。若要查看脚本的作用，登录到 CLIENT01，在提升权限的 PowerShell 窗口中运行“(Get-Service –Name Spooler).Status”，该脚本将查询打印后台处理程序服务的状态，应返回“Running”，这就是你指定的合规值。

4.2 创建配置基线

现在你有了一个配置项，需要将其应用到配置基线（CB）并在实验室环境中部署。配置基线是一个或多个配置项的集合，定义了一组特定的合规规则和纠正步骤。你部署的是配置基线，而不能直接将配置项部署到客户端。你可以将多个基线部署到客户端，例如，为桌面系统、服务器或影响某个关键业务应用程序的特定文件和注册表设置分别设置基线。

在将配置基线应用到现有配置项之前，你需要创建一个新的配置基线：
1. 导航至“Configuration Baselines”，右键单击并选择“Create Configuration Baseline”。
2. 使用以下属性配置新基线：
- 名称：All Lab Clients
- 配置数据，添加：配置项
- 配置数据，名称：Windows Print Spooler Service
3. 点击“OK”，新的配置基线应如预期所示。
4. 导航至“Administration > Client Settings”。
5. 右键单击“Default Client Settings”并选择“Properties”。

通过以上步骤，你可以在 ConfigMgr 中实现报告订阅、自定义报告、软件计量和合规性配置等功能，更好地管理和监控你的 IT 环境。

5. 配置客户端设置以支持合规性基线

完成配置基线的创建后，还需要对客户端设置进行进一步配置，以确保合规性检查能够顺利进行。以下是具体步骤：
1. 在“Default Client Settings”的属性窗口中，切换到“Compliance Settings”选项卡。
2. 确保“Enable compliance settings”选项已勾选，这样客户端才会执行合规性检查。
3. 可以根据需要调整“Evaluation schedule”，设置合规性检查的执行频率，例如选择每天、每周或每月进行检查。
4. 点击“OK”保存客户端设置的更改。

5.1 部署配置基线

将配置基线部署到目标集合，让客户端开始执行合规性检查：
1. 导航至“Assets and Compliance > Compliance Settings > Configuration Baselines”。
2. 右键单击之前创建的“All Lab Clients”配置基线，选择“Deploy”。
3. 在“Deployment Settings”窗口中，选择要部署的目标集合，例如“All Windows 10 Clients”。
4. 配置部署的其他选项，如“Available time”（可用时间）和“Due time”（截止时间），确定客户端何时可以开始下载和执行合规性检查。
5. 选择“Generate an alert”（生成警报）选项，当客户端出现不合规情况时，可以及时收到通知。
6. 点击“OK”完成配置基线的部署。

5.2 模拟和处理不合规情况

为了验证合规性配置的有效性，可以在 CLIENT01 上模拟不合规情况，并进行相应的处理：
1. 在 CLIENT01 上，打开服务管理器，停止“Print Spooler”服务。
2. 等待客户端执行合规性检查周期（可以手动触发“Machine Policy Retrieval & Evaluation Cycle”加快检查）。
3. 在 CM01 上，导航至“Monitoring > Compliance Status”，查看“All Lab Clients”配置基线的合规性状态。应该可以看到 CLIENT01 显示为不合规。
4. 为了纠正不合规情况，可以配置 ConfigMgr 自动执行修复操作。回到配置项“Windows Print Spooler Service”的属性窗口，在“Compliance Rules”选项卡中，勾选“Automatically remediate non - compliance”选项。
5. 配置修复脚本，在“Remediation Script”选项中，输入以下 PowerShell 代码：

Start - Service - Name Spooler

6. 再次等待客户端执行合规性检查和修复操作，之后在 CM01 上查看合规性状态，CLIENT01 应该恢复为合规状态。

6. 总结与拓展

6.1 总结

通过以上一系列操作，我们全面了解了 ConfigMgr 在报告管理、软件计量和合规性配置方面的功能。利用报告订阅和自定义报告，能够更高效地获取和分析环境数据；软件计量可以帮助我们掌握应用程序的使用情况，优化许可证管理；合规性配置则确保了系统符合预设的规则，减少了潜在的问题和风险。

6.2 拓展

在实际应用中，可以根据不同的业务需求进一步拓展这些功能：
- 更多自定义报告 ：除了反恶意软件报告，还可以根据业务流程和数据需求，创建更多类型的自定义报告，如应用程序部署成功率报告、客户端硬件资源使用报告等。
- 多应用计量 ：对更多关键应用程序启用软件计量，深入了解用户的使用习惯和需求，为软件采购和优化提供依据。
- 复杂合规性规则 ：创建更复杂的合规性规则，涵盖系统安全设置、软件版本控制、网络配置等多个方面，提高系统的安全性和稳定性。

以下是整个操作流程的 mermaid 流程图：

graph LR
    classDef process fill:#E5F6FF,stroke:#73A6FF,stroke - width:2px;

    A(报告订阅):::process --> B(自定义报告):::process
    B --> C(软件计量启用):::process
    C --> D(合规性配置):::process
    D --> E(配置客户端设置):::process
    E --> F(部署配置基线):::process
    F --> G(模拟和处理不合规):::process

总之，ConfigMgr 提供了丰富的工具和功能，通过合理配置和使用，可以有效地管理和监控 IT 环境，提升工作效率和系统的可靠性。