Handbuch für Administratoren: Einheitliches Beschriften von Clientdateien und Protokollierung der Clientnutzung in Azure Information Protection

Giltfür : Azure Information Protection, Windows 11, Windows 10, Windows 8.1, Windows 8, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Wenn Sie über Windows 7 oder Office 2010 verfügen, lesen Sie AIP und legacy-Windows und Office Versionen.

Relevant für:Einheitlicher Azure Information Protection-Beschriftungsclient für Windows.

Nachdem Sie den einheitlichen Azure Information Protection-Beschriftungsclient installiert haben, müssen Sie möglicherweise wissen, wo sich Dateien befinden, und überwachen, wie der Client verwendet wird.

Die Verwendungsprotokollierung wird mit der einheitlichen Azure Information Protection-Beschriftungsclientversion 2.12.62 und höher unterstützt.

Aktivieren der Verwendungsprotokollierung

Um die Unterstützung für die Verwendungsprotokollierung sowohl für den einheitlichen Bezeichnungsclient als auch für den Scanner zu aktivieren, legen Sie den Registrierungsschlüssel wie folgt ein:

  • Registrierungspfad: HKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\EnableLoggingAuditEventsToEventLog
  • Typ: DWORD
  • Wert: 1

Speicherorte der Protokolldateien

Client- und Scannerprotokolldateien befinden sich auf Ihrem einheitlichen Beschriftungsclientcomputer an folgenden Speicherorten:

  • \ProgramFiles (x86)\Microsoft Azure Information Protection (nur 64-Bit-Betriebssysteme)
  • \Program Files\Microsoft Azure Information Protection (nur 32-Bit-Betriebssysteme)
  • %localappdata%\Microsoft\MSIP

Clientseitige Verwendungsprotokollierung

Hinweis

Die clientseitige Verwendungsprotokollierung befindet sich derzeit in preview. Die ergänzenden Bedingungen für Azure Preview enthalten zusätzliche gesetzliche Bedingungen, die für Azure-Features gelten, die in der Betaversion, in der Vorschau oder auf andere Weise noch nicht zur allgemeinen Verfügbarkeit veröffentlicht wurden.

Die vereinheitlichte Beschriftung der Clientprotokoll-Benutzeraktivität Windows Anwendungen und Dienstprotokolle Azure Information Protection.

Zu den protokollierten Ereignissen für den Client gehören die folgenden Informationen:

  • Clientversion

  • IP-Adressen des angemeldeten Benutzers

  • Dateiname und Speicherort

  • Aktion:

    • Bezeichnung festlegen: Informations-ID 101

    • Bezeichnung entfernen: Informations-ID 104

    • Bezeichnung "Entdecken": Informations-ID 106

    • Anwenden von benutzerdefiniertem Schutz: Informations-ID 201

    • Entfernen des benutzerdefinierten Schutzes: Informations-ID 202

Die Ereignisse für Outlook warnen, im Blockieren und Blockieren von Nachrichten erfordern erweiterte Clienteinstellungen. Weitere Informationen finden Sie unter Implementieren von Popupnachrichten in Outlook, die das Senden von E-Mails warnen, imBlockieren oder blockieren.

Scannerseitige Verwendungsprotokollierung

Scanneraktivitäten werden im folgenden lokalen Windows-Ereignisprotokoll protokolliert: Applications and Services LogsAzure Information Protection Scanner

Protokollierte Ereignisse für den Scanner enthalten die folgenden Informationen:

  • Computername des Scannergeräts

  • SID (Sicherheits-ID) des angemeldeten Scannerbenutzers

  • Aktion, einer der folgenden Meldungstypen:

    • Infomeldungen, eine der folgenden Meldungen:

      • Überprüfung gestartet: Informations-ID 1001

      • Überprüfung abgeschlossen: Informations-ID 1002

      • Änderungsereignis: Informations-ID 1003

      • Discover-Ereignis: Informations-ID 1004

      • Datei entfernt: Informations-ID 1005

      • DLP-Regel wurde zugeordnet: Informations-ID 1006

      • Berechtigungsbericht: Informations-ID 1007

    • Warnmeldung:

      • Warnmeldung: Informations-ID 2001

      • Scan abgebrochen: Informations-ID 2002

    • Fehlermeldung ,eine der folgenden Meldungen:

      • Unbekannter Fehler: Informations-ID 3001

      • Keine automatischen Bezeichnungsbedingungen: Informations-ID 3002

      • Datenbankfehler: Informations-ID 3003

      • Datenbankschemafehler: Informations-ID 3004

      • Keine Richtlinien gefunden: Informations-ID 3005

      • Keine DLP-Richtlinien gefunden: Informations-ID 3006

      • Keine Inhaltsscanaufträge gefunden: Informations-ID 3007

  • Ereignisdaten, um weitere Informationen je nach Aktionstyp zu erhalten

Nächste Schritte

Weitere Informationen finden Sie unter: