Registro y análisis del uso de protección de Azure Information Protection

Se aplica a: Azure Information Protection, Office 365

Relevante para:cliente de etiquetado unificado AIP y cliente clásico

Nota

Para proporcionar una experiencia de cliente unificada y simplificada, el cliente clásico de Azure Information Protection y la administración de etiquetas en Azure Portal están en desuso a partir del 31 de marzo de 2021. Ya no se proporciona soporte técnico para las versiones clásicas de cliente y el mantenimiento ya no se lanzará.

El cliente clásico se retirará oficialmente y dejará de funcionar el 31 de marzo de 2022.

Todos los clientes del cliente clásico de Azure Information Protection actuales deben migrar Microsoft Information Protection la plataforma unificada de etiquetado y actualizar al cliente de etiquetado unificado. Más información en nuestro blog de migración.

Use esta información para ayudarle a comprender cómo puede usar el registro de uso para el servicio de protección (Azure Rights Management) de Azure Information Protection. Este servicio de protección proporciona la protección de datos para los documentos y correos electrónicos de su organización y puede registrar todas las solicitudes. Estas solicitudes incluyen cuándo los usuarios protegen documentos y correo electrónico y también consumen este contenido, acciones realizadas por los administradores de este servicio y acciones realizadas por operadores de Microsoft para admitir su implementación de Azure Information Protection.

A continuación, puede usar estos registros de uso de protección para admitir los siguientes escenarios empresariales:

  • Analizar para obtener información empresarial

    Los registros generados por el servicio de protección se pueden importar a un repositorio de su elección (como una base de datos, un sistema de procesamiento analítico en línea (OLAP) o un sistema de reducción de mapas) para analizar la información y producir informes. Como ejemplo, puede identificar quién obtiene acceso a los datos protegidos. Puede determinar a qué datos protegidos acceden los usuarios, desde qué dispositivos y desde dónde. Puede averiguar si los usuarios pueden leer correctamente el contenido protegido. También puede identificar qué personas han leído un documento importante protegido.

  • Supervisar si hay abuso

    La información de registro sobre el uso de la protección está disponible en tiempo casi real, de modo que pueda supervisar continuamente el uso del servicio de protección por parte de su empresa. El 99,9 % de los registros están disponibles dentro de los 15 minutos adicionales a una acción iniciada para el servicio.

    Por ejemplo, es posible que desee recibir una alerta si hay un aumento súbito de personas que leen datos protegidos fuera del horario laboral estándar, lo que podría indicar que un usuario malintencionado está recopilando información para venderla a los competidores. O bien, si el mismo usuario accede aparentemente a datos de dos direcciones IP diferentes en un período de tiempo corto, lo que podría indicar que una cuenta de usuario se ha visto comprometida.

  • Realizar análisis forenses

    Si tiene una pérdida de información, es probable que se le pregunte quién ha accedido recientemente a documentos específicos y a qué información ha accedido recientemente una persona sospechosa. Puede responder a este tipo de preguntas al usar este registro porque las personas que usan contenido protegido siempre deben obtener una licencia de Rights Management para abrir documentos e imágenes que estén protegidos por Azure Information Protection, incluso si estos archivos se mueven por correo electrónico o se copian en unidades USB u otros dispositivos de almacenamiento. Esto significa que puede usar estos registros como una fuente definitiva de información para el análisis forense al proteger los datos mediante Azure Information Protection.

Además de este registro de uso, también tiene las siguientes opciones de registro:

Opción Registro Descripción
Registro de administración Registra las tareas administrativas del servicio de protección. Por ejemplo, si el servicio está desactivado, cuando la característica de superusuador está habilitada y cuando los usuarios tienen permisos de administrador delegados en el servicio.

Para obtener más información, vea el cmdlet de PowerShell, Get-AipServiceAdminLog.
Seguimiento de documentos Permite a los usuarios realizar un seguimiento y revocar los documentos que han rastreado con el cliente de Azure Information Protection. Los administradores globales también pueden realizar un seguimiento de estos documentos en nombre de los usuarios.

Para obtener más información, vea Configurar y usar el seguimiento de documentos para Azure Information Protection.
Registros de eventos de cliente Actividad de uso para el cliente de Azure Information Protection, que ha iniciado sesión en el registro de eventos Windows aplicaciones y servicios local, Azure Information Protection.

Para obtener más información, vea Registro de uso para el cliente de Azure Information Protection.
Archivos de registro de cliente Registros de solución de problemas para el cliente de Azure Information Protection, que se encuentra en %localappdata%\Microsoft\MSIP.

Estos archivos están diseñados para el soporte técnico de Microsoft.

Además, la información de los registros de uso del cliente de Azure Information Protection y el escáner de Azure Information Protection se recopila y agrega para crear informes en Azure Portal. Para obtener más información, vea Informes para Azure Information Protection.

Use las secciones siguientes para obtener más información sobre el registro de uso para el servicio de protección.

Cómo habilitar el registro para el uso de protección

El registro de uso de protección está habilitado de forma predeterminada para todos los clientes.

No hay ningún costo adicional para el almacenamiento de registros ni para la funcionalidad de características de registro.

Cómo obtener acceso a los registros de uso de protección y usarlos

Azure Information Protection escribe registros como una serie de blobs en una cuenta de almacenamiento de Azure que crea automáticamente para el inquilino. Cada blob contiene uno o varios registros de registro, en formato de registro extendido W3C. Los nombres de blob son números, en el orden en que se crearon. La sección Cómo interpretar los registros Azure Rights Management uso más adelante en este documento contiene más información sobre el contenido del registro y su creación.

Los registros pueden tardar un tiempo en aparecer en su cuenta de almacenamiento después de una acción de protección. La mayoría de los registros aparecen en un plazo de 15 minutos. Le recomendamos que descargue los registros en el almacenamiento local, como una carpeta local, una base de datos o un repositorio de reducción de mapas.

Para descargar los registros de uso, usará el módulo PowerShell de AIPService para Azure Information Protection. Para obtener instrucciones de instalación, vea Instalar el módulo de PowerShell de AIPService.

Para descargar los registros de uso con PowerShell

  1. Inicie Windows PowerShell con la opción Ejecutar como administrador y use el cmdlet Conectar-AipService para conectarse a Azure Information Protection:

    Connect-AipService
    
  2. Ejecute el siguiente comando para descargar los registros de una fecha específica:

    Get-AipServiceUserLog -Path <location> -fordate <date>
    

    Por ejemplo, después de crear una carpeta denominada Registros en la unidad E::

    • Para descargar registros para una fecha específica (como 2/1/2016), ejecute el siguiente comando: Get-AipServiceUserLog -Path E:\Logs -fordate 2/1/2016

    • Para descargar registros para un intervalo de fechas (por ejemplo, del 1/1/2016 al 14/2016), ejecute el comando siguiente: Get-AipServiceUserLog -Path E:\Logs -fromdate 2/1/2016 –todate 2/14/2016

Al especificar solo el día, como en nuestros ejemplos, se supone que la hora es 00:00:00 en la hora local y, a continuación, se convierte en UTC. Al especificar una hora con los parámetros -fromdate o -todate (por ejemplo, -fordate "2/1/2016 15:00:00"), esa fecha y hora se convierten en UTC. El Get-AipServiceUserLog obtiene los registros de ese período de tiempo UTC.

No puede especificar menos de un día completo para descargarlo.

De forma predeterminada, este cmdlet usa tres hilos para descargar los registros. Si tiene suficiente ancho de banda de red y desea reducir el tiempo necesario para descargar los registros, use el parámetro -NumberOfThreads, que admite un valor de 1 a 32. Por ejemplo, si ejecuta el siguiente comando, el cmdlet genera 10 hilos para descargar los registros: Get-AipServiceUserLog -Path E:\Logs -fromdate 2/1/2016 –todate 2/14/2016 -numberofthreads 10

Sugerencia

Puede agregar todos los archivos de registro descargados a un formato CSV mediante el Analizador de registros de Microsoft, que es una herramienta para convertir entre varios formatosde registro conocidos. También puede usar esta herramienta para convertir datos al formato DES.SYSLOG o importarlos a una base de datos. Después de instalar la herramienta, ejecute LogParser.exe /? para obtener ayuda e información para usar esta herramienta.

Por ejemplo, puede ejecutar el siguiente comando para importar toda la información a un formato de archivo .log: logparser –i:w3c –o:csv "SELECT * INTO AllLogs.csv FROM *.log"

Cómo interpretar los registros de uso

Use la siguiente información para ayudarle a interpretar los registros de uso de protección.

La secuencia de registro

Azure Information Protection escribe los registros como una serie de blobs.

Cada entrada del registro tiene una marca de tiempo UTC. Dado que el servicio de protección se ejecuta en varios servidores en varios centros de datos, a veces los registros pueden parecer no estar en secuencia, incluso cuando se ordenan por su marca de tiempo. Sin embargo, la diferencia es pequeña y normalmente en un minuto. En la mayoría de los casos, este no es un problema que sería un problema para el análisis de registros.

El formato de blob

Cada blob está en formato de registro extendido W3C. Comienza con las dos líneas siguientes:

#Software: RMS

#Version: 1.1

La primera línea identifica que se trata de registros de protección de Azure Information Protection. La segunda línea identifica que el resto del blob sigue la especificación de la versión 1.1. Se recomienda que las aplicaciones que analizan estos registros comprueben estas dos líneas antes de continuar analizando el resto del blob.

La tercera línea enumera una lista de nombres de campo separados por pestañas:

#Fields: fecha hora row-id request-type user-id result correlation-id content-id owner-email issuer template-id file-name date-published c-info c-ip admin-action acting-as-user

Cada una de las líneas siguientes es un registro de registro. Los valores de los campos están en el mismo orden que la línea anterior y están separados por pestañas. Use la tabla siguiente para interpretar los campos.

Nombre del campo Tipo de datos W3C Descripción Valor de ejemplo
fecha Fecha Fecha UTC cuando se atendía la solicitud.

El origen es el reloj local del servidor que atendía la solicitud.
2013-06-25
hora Hora Hora UTC en formato de 24 horas cuando se ha servido la solicitud.

El origen es el reloj local del servidor que atendía la solicitud.
21:59:28
id.fila Texto GUID único para este registro de registro. Si un valor no está presente, use el valor de id. de correlación para identificar la entrada.

Este valor es útil al agregar registros o copiar registros a otro formato.
1c3fe7a9-d9e0-4654-97b7-14fafa72ea63
tipo de solicitud Nombre Nombre de la API de RMS que se solicitó. AcquireLicense
user-id Cadena El usuario que realizó la solicitud.

El valor se incluye entre comillas simples. Las llamadas de una clave de inquilino administrada por usted (BYOK) tienen un valor de ", que también se aplica cuando los tipos de solicitud son anónimos.
‘joe@contoso.com’
resultado Cadena "Éxito" si la solicitud se ha realizado correctamente.

El tipo de error entre comillas simples si se produce un error en la solicitud.
'Éxito'
correlation-id Texto GUID que es común entre el registro de cliente RMS y el registro del servidor para una solicitud determinada.

Este valor puede ser útil para ayudar a solucionar problemas de cliente.
cab52088-8925-4371-be34-4b71a3112356
content-id Texto GUID, entre llaves que identifican el contenido protegido (por ejemplo, un documento).

Este campo solo tiene un valor si tipo de solicitud es AcquireLicense y está en blanco para todos los demás tipos de solicitud.
{bb4af47b-cfed-4719-831d-71b98191a4f2}
propietario-correo electrónico Cadena Dirección de correo electrónico del propietario del documento.

Este campo está en blanco si el tipo de solicitud es RevokeAccess.
alice@contoso.com
emisor Cadena Dirección de correo electrónico del emisor del documento.

Este campo está en blanco si el tipo de solicitud es RevokeAccess.
alice@contoso.com (o) FederatedEmail.4c1f4d-93bf-00a95fa1e042@contoso.onmicrosoft.com '
template-id Cadena Id. de la plantilla usada para proteger el documento.

Este campo está en blanco si el tipo de solicitud es RevokeAccess.
{6d9371a6-4e2d-4e97-9a38-202233fed26e}
nombre de archivo Cadena Nombre de archivo de un documento protegido al que se realiza un seguimiento mediante el cliente de Azure Information Protection para Windows.

Actualmente, algunos archivos (como Office documentos) se muestran como GUID en lugar del nombre de archivo real.

Este campo está en blanco si el tipo de solicitud es RevokeAccess.
TopSecretDocument.docx
fecha publicada Fecha Fecha en la que se protegió el documento.

Este campo está en blanco si el tipo de solicitud es RevokeAccess.
2015-10-15T21:37:00
c-info Cadena Información sobre la plataforma de cliente que realiza la solicitud.

La cadena específica varía según la aplicación (por ejemplo, el sistema operativo o el explorador).
'MSIPC;version=1.0.623.47; AppName=WINWORD.EXE; AppVersion=15.0.4753.1000; AppArch=x86;OSName=Windows;OSVersion=6,1,7601;OSArch=amd64'
c-ip Dirección Dirección IP del cliente que realiza la solicitud. 64.51.202.144
admin-action Bool Si un administrador ha accedido al sitio de seguimiento de documentos en modo administrador. Verdadero
actuar como usuario Cadena La dirección de correo electrónico del usuario para el que un administrador tiene acceso al sitio de seguimiento de documentos. 'joe@contoso.com'

Excepciones para el campo id de usuario

Aunque el campo id.de usuario suele indicar el usuario que realizó la solicitud, hay dos excepciones en las que el valor no se asigna a un usuario real:

  • El valor 'microsoftrmsonline@ YourTenantID > .rms. < región > .aadrm.com'.

    Esto indica que un Office 365, como Exchange Online o Microsoft SharePoint, está realizando la solicitud. En la cadena, YourTenantID > es el GUID para el inquilino y > región es la región donde está registrado el inquilino. Por ejemplo, na representa Norteamérica, eu representa Europa y ap representa Asia.

  • Si usa el conector RMS.

    Las solicitudes de este conector se registran con el nombre principal del servicio de Aadrm_S-1-7-0,que se genera automáticamente al instalar el conector RMS.

Tipos de solicitud típicos

Hay muchos tipos de solicitudes para el servicio de protección, pero en la tabla siguiente se identifican algunos de los tipos de solicitud más usados.

Tipo de solicitud Descripción
AcquireLicense Un cliente de un Windows está solicitando una licencia para contenido protegido.
AcquirePreLicense Un cliente, en nombre del usuario, solicita una licencia para contenido protegido.
AcquireTemplates Se realizó una llamada para adquirir plantillas basadas en los IDs de plantilla
AcquireTemplateInformation Se realizó una llamada para obtener los IDs de la plantilla desde el servicio.
AddTemplate Se realiza una llamada desde Azure Portal para agregar una plantilla.
AllDocsCsv Se realiza una llamada desde el sitio de seguimiento de documentos para descargar el archivo CSV desde la página Todos los documentos.
BECreateEndUserLicenseV1 Se realiza una llamada desde un dispositivo móvil para crear una licencia de usuario final.
BEGetAllTemplatesV1 Se realiza una llamada desde un dispositivo móvil (back-end) para obtener todas las plantillas.
Certificar El cliente certifica al usuario para el consumo y la creación de contenido protegido.
FECreateEndUserLicenseV1 Similar a la solicitud AcquireLicense, pero desde dispositivos móviles.
FECreatePublishingLicenseV1 Lo mismo que Certificar y GetClientLicensorCert combinados, desde clientes móviles.
FEGetAllTemplates Se realiza una llamada desde un dispositivo móvil (front-end) para obtener las plantillas.
FindServiceLocationsForUser Se realiza una llamada para consultar direcciones URL, que se usa para llamar a Certificar o AdquirirBlicencia.
GetClientLicensorCert El cliente solicita un certificado de publicación (que se usa más adelante para proteger el contenido) de un Windows equipo basado en el cliente.
GetConfiguration Se Azure PowerShell cmdlet para obtener la configuración del inquilino de Azure RMS.
GetConnectorAuthorizations Se realiza una llamada desde los conectores RMS para obtener su configuración desde la nube.
GetRecipients Se realiza una llamada desde el sitio de seguimiento de documentos para ir a la vista de lista de un único documento.
GetTenantFunctionalState Azure Portal está comprobando si el servicio de protección (Azure Rights Management) está activado.
KeyVaultDecryptRequest El cliente intenta descifrar el contenido protegido por RMS. Solo se aplica a una clave de inquilino administrada por el cliente (BYOK) en Azure Key Vault.
KeyVaultGetKeyInfoRequest Se realiza una llamada para comprobar que la clave especificada para usarse en Azure Key Vault para la clave de inquilino de Azure Information Protection es accesible y aún no se usa.
KeyVaultSignDigest Se realiza una llamada cuando se usa una clave administrada por el cliente (BYOK) en Azure Key Vault para fines de firma. Esto se denomina normalmente una vez por AcquireLicence (o FECreateEndUserLicenseV1), Certify y GetClientLicensorCert (o FECreatePublishingLicenseV1).
KMSPDecrypt El cliente intenta descifrar el contenido protegido por RMS. Solo se aplica a una clave de inquilino administrada por el cliente heredada (BYOK).
KMSPSignDigest Se realiza una llamada cuando se usa una clave administrada por el cliente (BYOK) heredada para firmar. Esto se denomina normalmente una vez por AcquireLicence (o FECreateEndUserLicenseV1), Certify y GetClientLicensorCert (o FECreatePublishingLicenseV1).
ServerCertify Se realiza una llamada desde un cliente habilitado para RMS (como SharePoint) para certificar el servidor.
SetUsageLogFeatureState Se realiza una llamada para habilitar el registro de uso.
SetUsageLogStorageAccount Se realiza una llamada para especificar la ubicación de los registros Azure Rights Management servicio.
UpdateTemplate Se realiza una llamada desde Azure Portal para actualizar una plantilla existente.

Solo cliente clásico

Los siguientes tipos de solicitud son relevantes para los usuarios que solo tienen el cliente clásico AIP:

Tipo de solicitud Descripción
DeleteTemplateById Se realiza una llamada desde Azure Portal para eliminar una plantilla por id. de plantilla.
DocumentEventsCsv Se realiza una llamada desde el sitio de seguimiento de documentos para descargar el archivo .CSV para un único documento.
ExportTemplateById Se realiza una llamada desde Azure Portal para exportar una plantilla basada en un id. de plantilla.
FEGetAllTemplates Se realiza una llamada desde un dispositivo móvil (front-end) para obtener las plantillas.
GetAllDocs Se realiza una llamada desde el sitio de seguimiento de documentos para cargar la página de todos los documentos de un usuario o buscar todos los documentos para el inquilino. Use este valor con los campos admin-action y acting-as-admin:

- acción de administrador está vacía: un usuario ve la página de todos los documentos para sus propios documentos.

- la acción de administrador es verdadera y actuar como usuario está vacía: un administrador ve todos los documentos de su inquilino.

- admin-action is true and acting-as-user is not empty: An administrator views the all documents page for a user.
GetAllTemplates Se realiza una llamada desde Azure Portal para obtener todas las plantillas.
GetConnectorAuthorizations Se realiza una llamada desde los conectores RMS para obtener su configuración desde la nube.
GetSingle Se realiza una llamada desde el sitio de seguimiento de documentos para ir a una única página de documento.
GetTemplateById Se realiza una llamada desde Azure Portal para obtener una plantilla especificando un id. de plantilla.
LoadEventsForMap Se realiza una llamada desde el sitio de seguimiento de documentos para ir a la vista de mapa de un único documento.
LoadEventsForSummary Se realiza una llamada desde el sitio de seguimiento de documentos para ir a la vista de escala de tiempo de un único documento.
LoadEventsForTimeline Se realiza una llamada desde el sitio de seguimiento de documentos para ir a la vista de mapa de un único documento.
ImportTemplate Se realiza una llamada desde Azure Portal para importar una plantilla.
RevokeAccess Se realiza una llamada desde el sitio de seguimiento de documentos para revocar un documento.
SearchUsers Se realiza una llamada desde el sitio de seguimiento de documentos para buscar en todos los usuarios de un espacio empresarial.
UpdateNotificationSettings Se realiza una llamada desde el sitio de seguimiento de documentos para cambiar la configuración de notificación de un único documento.
UpdateTemplate Se realiza una llamada desde Azure Portal para actualizar una plantilla existente.

Referencia de PowerShell

El único cmdlet de PowerShell que necesita para obtener acceso al registro de uso de protección es Get-AipServiceUserLog.

Para obtener más información sobre el uso de PowerShell para Azure Information Protection, vea Administrar la protección de Azure Information Protection mediante PowerShell.