Az Azure Information Protection védelmi használatának naplózása és elemzése

A következőre vonatkozik:Azure Information Protection, Office 365

Releváns:: AIP egyesített címkéző ügyfélprogram és klasszikus ügyfélprogram

Megjegyzés

Az egységes és zökkenőmentes ügyfélélmény érdekében 2021. március 31-énelavult az Azure Information Protection klasszikus ügyfélprogramja és az Azure Portal címkekezelés szolgáltatása. A klasszikus ügyfélprogramhoz nem biztosítunk további támogatást, és a karbantartási verziók a továbbiakban nem lesznek elérhetőek.

A klasszikus ügyfél hivatalosan is kivezetve lesz, és 2022. március 31-én meg fog állni.

Az Azure Information Protection összes jelenlegi klasszikus ügyfélalkalmazásának át kell áttelepítést Microsoft-információvédelem egyesített címkeplatformra, és frissítenie kell az egyesített címkéző ügyfélalkalmazásra. További információt az áttelepítési blogunkban talál.

Ezen információk segítségével megértheti, hogy miként használhatja a használati naplózást az Azure Information Protection védelmi Azure Tartalomvédelmi szolgáltatások védelmi szolgáltatáshoz. Ez a védelmi szolgáltatás biztosítja a szervezet dokumentumainak és e-mailjeinek adatvédelmét, és minden kérését naplózhatja. Ilyen kérések lehetnek például akkor, ha a felhasználók védik a dokumentumokat és az e-maileket, illetve felhasználják ezeket a tartalmakat, a rendszergazdák által a szolgáltatásban végrehajtott műveleteket, valamint a Microsoft-operátorok által az Azure Information Protection üzembe helyezésének támogatására végrehajtott műveleteket.

Ezeket a védelmi használati naplókat használva az alábbi üzleti eseteket támogathatja:

  • Elemzés üzleti elemzésekhez

    A védelmi szolgáltatás által létrehozott naplókat importálhatja egy Ön által választott tárházba (például adatbázisba, OLAP-) vagy térkép-csökkentő rendszerbe az információk elemzése és jelentések készítése céljából. Tegyük fel például, hogy ki fér hozzá a védett adataihoz. Meghatározhatja, hogy a felhasználók milyen védett adatokhoz férnek hozzá, és milyen eszközökről és honnan. Itt kiderítheti, hogy a védett tartalmak olvasása sikeres volt-e. Azt is meg tudja határozni, hogy mely személyek olvasták el a védett fontos dokumentumokat.

  • Visszaélés figyelése

    A védelmi használatra vonatkozó naplózási információk szinte valós időben érhetők el, így ön folyamatosan figyelheti, hogy vállalata használja-e a védelmi szolgáltatást. A naplók 99,9%-a a szolgáltatáshoz kezdeményezett művelettől számított 15 percen belül elérhető.

    Előfordulhat például, hogy szeretne figyelmeztetést kapni, ha a védett adatokat a szokásos munkaidőn kívül valaki hirtelen elolvasott, ami azt jelezheti, hogy egy rosszindulatú felhasználó adatokat gyűjt a versenytársaknak való eladásra. Vagy ha egy felhasználó elsőre úgy tűnik, rövid idő alatt két különböző IP-címről fér hozzá az adatokhoz, az azt jelezheti, hogy feltörték a felhasználói fiókot.

  • Elemzés végrehajtása

    Ha információszivárgás miatt kiszivárgást kapott, a rendszer valószínűleg megkérdezi, hogy ki fért hozzá nemrég adott dokumentumokhoz, és milyen információkhoz fért hozzá egy feltételezett személy az utóbbi időben. E naplózás használata során az ilyen típusú kérdésekre választ kaphat, mert a védett tartalmakat felhasználó személyeknek mindig tartalomvédelmi licencet kell kapniuk az Azure Information Protection által védett dokumentumok és képek megnyitásához, még akkor is, ha ezeket a fájlokat e-mailben áthelyezik vagy USB-meghajtóra vagy más tárolóeszközre másolhatók. Ez azt jelenti, hogy ezeket a naplókat felhasználhatja végleges információforrásként az elemzéshez, amikor adatait védi az Azure Information Protection használatával.

A használati naplózás mellett az alábbi naplózási lehetőségek is rendelkezésre állnak:

Naplózási beállítás Leírás
Rendszergazdai napló Naplózza a védelmi szolgáltatás felügyeleti feladatait. Ha például a szolgáltatás inaktiválva van, ha a felső felhasználói funkció engedélyezve van, és ha a felhasználók delegált rendszergazdai jogosultsággal vannak megruházva a szolgáltatáshoz.

További információt a Get-AipServiceAdminLog PowerShell-parancsmagban található.
Dokumentumkövetés Lehetővé teszi a felhasználóknak az Azure Information Protection ügyféllel nyomon követhető dokumentumaik nyomon követését és visszavonását. A globális rendszergazdák ezeket a dokumentumokat a felhasználók nevében is nyomon követhetik.

További információ: Dokumentumok konfigurálása és használata az Azure Information Protection szolgáltatásban.
Ügyfélesemény-naplók Az Azure Information Protection ügyfél használati tevékenysége, amely a helyi Windows Applications and Services eseménynaplójában (Azure Information Protection) van naplózva.

További információ: Az Azure Information Protection ügyfél használati naplózása.
Ügyfél naplófájlok A %localappdata%\Microsoft\MSIPmappában található Azure Information Protection-ügyfél naplóinak hibaelhárítása.

Ezek a fájlok a Microsoft ügyfélszolgálatához vannak tervezve.

Ezenkívül az Azure Information Protection ügyfélprogram használati naplóiból és az Azure Information Protection szkennerből származó információkat is gyűjti és összesíti, hogy jelentéseket hozzon létre az Azure Portalon. További információ: Jelentéskészítés az Azure Information Protection szolgáltatáshoz.

Az alábbi szakaszokból többet is tud meg a védelmi szolgáltatás használati naplózási szolgáltatásról.

A naplózás engedélyezése a védelmi használathoz

A védelmi használat naplózása alapértelmezés szerint minden ügyfélnél engedélyezve van.

A naplózási és naplózási szolgáltatásnak nincs külön költsége.

A védelmi használati naplók elérése és használata

Az Azure Information Protection blobsorozatként írja a naplókat egy Azure-tárfiókba, és azt automatikusan létrehozza a bérlői fiókjában. Minden blob egy vagy több naplórekordot tartalmaz, W3C kiterjesztett naplóformátumban. A blobnevek számok, abban a sorrendben, amelyben létrehozták őket. A jelen dokumentum későbbi, Azure Tartalomvédelmi szolgáltatások használati naplók értelmezése című szakasza további információkat tartalmaz a naplók tartalmáról és létrehozásáról.

Egy védelmi művelet után a naplók egy ideig is megjelennek a tárfiókban. A legtöbb napló 15 percen belül megjelenik. Azt javasoljuk, hogy töltse le a naplókat helyi tárhelyre, például helyi mappába, adatbázisba vagy térkép-csökkentésű tárba.

A használati naplók letöltéséhez az Azure Information Protection AIPService PowerShell modulját kell használnia. A telepítési utasításokat Az AIPService PowerShellmodul telepítése .

A használati naplók letöltése a PowerShell használatával

  1. Indítsa Windows PowerShell Futtatás rendszergazdaként beállítással, és a Csatlakozás-AipService parancsmaggal csatlakozzon az Azure Information Protection szolgáltatáshoz:

    Connect-AipService
    
  2. A naplók adott dátumra való letöltéséhez futtassa az alábbi parancsot:

    Get-AipServiceUserLog -Path <location> -fordate <date>
    

    Tegyük fel például, hogy létrehoz egy Naplók nevű mappát az E: meghajtón:

    • Ha egy adott dátumra (például 2016.02.01.) vonatkozó naplókat is le kell töltenie, futtassa az alábbi parancsot: Get-AipServiceUserLog -Path E:\Logs -fordate 2/1/2016

    • Ha egy dátumtartományhoz (például 2016.02.01-től 2016.02.14-ig) naplókat tölt le, futtassa az alábbi parancsot: Get-AipServiceUserLog -Path E:\Logs -fromdate 2/1/2016 –todate 2/14/2016

Ha csak a napot adja meg , ahogyan a példánkban is látható, a helyi idő 00:00:00 lesz, majd az UTC-re konvertálja. Amikor -fromdate vagy -todate paraméterekkel ad meg egy időpontot (például -fordate "2016.02.01.15 15:00:00"), a dátum és az idő UTC-re alakul át. A Get-AipServiceUserLog parancsot, majd az adott egyezményes világidő (UTC) szerinti időszak naplóit kapja meg.

A letöltéshez nem adhat meg egy egész napnál rövidebb időt.

Ez a parancsmag alapértelmezés szerint három szálat használ a naplók letöltéséhez. Ha rendelkezik elegendő hálózati sávszélességgel, és csökkenteni szeretné a naplók letöltéséhez szükséges időt, használja a -NumberOfThreads paramétert, amely 1 és 32 között támogatja az értéket. Ha például az alábbi parancsot futtatja, a parancsmag 10 szálat futtat a naplók letöltéséhez: Get-AipServiceUserLog -Path E:\Logs -fromdate 2/1/2016 –todate 2/14/2016 -numberofthreads 10

Tipp

Az összes letöltött naplófájlt CSV-formátumban összesítheti a Microsoftnapló elemző eszközével, amely a különféle ismert naplófájlok közötti konvertálás egyik eszköze. Ezzel az eszközzel a SYSLOG formátumba is konvertálhatja az adatokat, vagy adatbázisba importálhatja őket. Miután telepítette az eszközt, futtassa a súgót és információkat az LogParser.exe /? eszközhöz.

Futtathatja például az alábbi parancsot, ha az összes információt .log fájlformátumba importálja: logparser –i:w3c –o:csv "SELECT * INTO AllLogs.csv FROM *.log"

A használati naplók értelmezése

Az alábbi információk segítenek a védelmi használati naplók értelmezésében.

A naplósorozat

Az Azure Information Protection blobok sorozataként írja a naplókat.

A napló minden egyes bejegyzése egy UTC időbélyeget ad meg. Mivel a védelmi szolgáltatás több adatközpont több kiszolgálón is működik, a naplók néha úgy tűnhet, hogy nem futnak a sorrendben, még akkor is, ha időbélyegük szerint vannak rendezve. A különbség azonban kicsi, és általában egy percen belül meg fog egy perc alatt lenni. A legtöbb esetben ez nem jelent problémát a naplóelemzés során.

A blobformátum

Minden blob W3C kiterjesztett naplózási formátumban van. A következő két sorból áll:

#Software: RMS

#Version: 1.1

Az első sor azonosítja, hogy ezek az Azure Information Protection védelmi naplói. A második vonal azonosítja, hogy a többi blob követi az 1.1-es verzió specifikációját. Azt javasoljuk, hogy a naplókat elemző minden alkalmazás ellenőrizze ezt a két sort, mielőtt folytatná a blob többi elemezését.

A harmadik sor a tabulátorokkal elválasztott mezőneveket számba veszi:

#Fields: dátumidő sorazonosító kéréstípusú felhasználói azonosítójú eredmény korrelációs azonosító tartalomazonosító tartalomazonosító tulajdonosi e-mail kibocsátó sablon-azonosító fájlneve dátum-közzétéve c-info c-ip admin-action acting-as-user

Minden további sor egy-egy naplórekord. A mezők értékei ugyanabban a sorrendben vannak, mint az előző sorban, és lapok választják el őket egymástól. A mezők értelmezéséhez használja az alábbi táblázatot.

Mezőnév W3C adattípus Leírás Példaérték
dátum Dátum A kérelem kézbesítve időpontja (UTC)

A forrás a helyi óra a kérelmet kiszolgálóról.
2013-06-25
idő Idő A kérés kérésének kézbesítve 24 órás formátumban (UTC-idő).

A forrás a helyi óra a kérelmet kiszolgálóról.
21:59:28
sorazonosító Szöveg Egyedi GUID azonosító ehhez a naplórekordhoz. Ha egy érték nincs jelen, a korrelációs azonosító értékkel azonosíthatja a bejegyzést.

Ez az érték akkor hasznos, ha a naplókat összesíti, vagy más formátumba másolja.
1c3fe7a9-d9e0-4654-97b7-14fafa72ea63
request-type Név A kért RMS API neve. AcquireLicense
user-id Karakterlánc A kérelmet bekért felhasználó.

Az érték aposztrófok között van. Az Ön által kezelt bérlői kulcsból (BYOK) származó hívások értéke ", amely akkor is érvényes, ha a kérelem típusa névtelen.
‘joe@contoso.com’
eredmény Karakterlánc "Siker", ha a kérést sikeresen kézbesítették.

Ha a kérés sikertelen, a hibatípus aposztrófok között jelenik meg.
"Siker"
korrelációs azonosító Szöveg GUID, amely közös az adott kérés rmS-ügyfélnaplója és kiszolgálói naplója között.

Ez az érték segíthet az ügyfélproblémák elhárításában.
cab52088-8925-4371-be34-4b71a3112356
content-id Szöveg GUID, kapcsos zárójelek közé zárva, amely azonosítja a védett tartalmat (például egy dokumentumot).

Ez a mező csak akkor rendelkezik értékkel, ha a request-type értéke AcquireLicense, és minden más típusú kérésnél üres.
{bb4af47b-cfed-4719-831d-71b98191a4f2}
tulajdonosi e-mail-cím Karakterlánc A dokumentum tulajdonosának e-mail-címe.

Ez a mező üres, ha a kérés típusa RevokeAccess.
alice@contoso.com
kibocsátó Karakterlánc A dokumentum kibocsátójának e-mail-címe.

Ez a mező üres, ha a kérés típusa RevokeAccess.
alice@contoso.com (vagy) FederatedEmail.4c1f4d-93bf-00a95fa1e042@contoso.onmicrosoft.com '
sablon-azonosító Karakterlánc A dokumentum védelméhez használt sablon azonosítója.

Ez a mező üres, ha a kérés típusa RevokeAccess.
{6d9371a6-4e2d-4e97-9a38-202233fed26e}
fájlnév Karakterlánc Az Azure Information Protection ügyféllel nyomon követhető védett dokumentum fájlneve Windows.

Jelenleg egyes fájlok (például Office dokumentumok) GUID azonosítóként jelennek meg a tényleges fájlnév helyett.

Ez a mező üres, ha a kérés típusa RevokeAccess.
TopSecretDocument.docx
dátum-közzétéve Dátum A dokumentum oltolt időpontja.

Ez a mező üres, ha a kérés típusa RevokeAccess.
2015-10-15T21:37:00
c-info Karakterlánc Információk a kérelmet érvénybe ékő ügyfélplatformról.

Az adott karakterlánc az alkalmazástól (például az operációs rendszertől vagy a böngészőtől) függően változik.
'MSIPC;version=1.0.623.47; AppName=WINWORD.EXE; AppVersion=15.0.4753.1000; AppArch=x86;OSName=Windows;OSVersion=6.1.7601;OSArch=amd64'
c-ip Cím A kérelmet be toldalékó ügyfél IP-címe. 64.51.202.144
rendszergazdai művelet Bool Hogy egy rendszergazda rendszergazdai módban megnyitotta-e a dokumentumkövetési webhelyet. Igaz
acting-as-user Karakterlánc Annak a felhasználónak az e-mail-címe, akinek a rendszergazdája hozzáfér a dokumentumkövetési webhelyhez. 'joe@contoso.com'

Kivételek a felhasználói azonosító mezőhöz

Bár a felhasználóazonosító mező általában azt a felhasználót jelzi, aki a kérelmet tette, két kivétel van, ha az érték nem egy valódi felhasználónak van leképezve:

  • A "microsoftrmsonline@ YourTenantID > .rms. < régió > .aadrm.com' .

    Ez azt jelzi, Office 365 egy Exchange Online vagy a Microsoft SharePoint teszi a kérelmet. A karakterláncban a YourTenantID > a bérlő és a régió GUID > azonosítója, amely a bérlő regisztrálva van. A na például Észak-Amerika, az eu pedig Európa, az ap pedig Ázsiát jelöli.

  • Ha az RMS-összekötőt használja.

    Az összekötő kérései a Aadrm_S-1-7-0egyszerű szolgáltatásnévvel vannak naplózva, amely automatikusan létrejön az RMS-összekötő telepítésekor.

Tipikus kéréstípusok

A védelmi szolgáltatásnak számos kéréstípusa van, az alábbi táblázat azonban a leggyakrabban használt kéréstípusok némelyikét azonosítja.

Kérelem típusa Leírás
AcquireLicense Egy ügyfél egy Windows-alapú számítógépről kér licencet a védett tartalmakhoz.
AcquirePreLicense Egy ügyfél a felhasználó nevében licencet kér a védett tartalmakhoz.
AcquireTemplates Hívás történt sablon-alapú sablonok beszerzéséhez
AcquireTemplateInformation Hívás történt a sablonnak a szolgáltatásból való kiszerkedőjéhez.
AddTemplate Az Azure Portalról hívás készül sablon hozzáadásához.
AllDocsCsv Hívás készül a dokumentumkövetési webhelyről, hogy letöltse a CSV-fájlt a Minden dokumentum lapról.
BECreateEndUserLicenseV1 A hívás egy mobileszközről egy végfelhasználói licenc létrehozására készül.
BEGetAllTemplatesV1 Az összes sablont egy mobileszközről (háttérhálózatról) származó hívásnak kell lehívni.
Minősítés Az ügyfél hitelesíti a felhasználót a védett tartalmak felhasználási és létrehozási folyamatára.
FECreateEndUserLicenseV1 Hasonlít a AcquireLicense kérésre, de mobileszközökről.
FECreatePublishingLicenseV1 Ugyanaz, mint a Tanúsítvány és a GetClientLicensorCert kombinálva, mobileszközökről.
FEGetAllTemplates A sablonokhoz mobileszközről (előlapról) hívás készül.
FindServiceLocationsForUser Hívás készül az URL-címek lekérdezéséhez, amelyet a Minősítés vagy a Licenc beszerzése híváshoz használnak.
GetClientLicensorCert Az ügyfél egy közzétételi tanúsítványt kér (amely később a tartalom védelmére használható) egy Windows számítógépen.
GetConfiguration Az Azure PowerShell Azure RMS-bérlő konfigurációjának lekérte egy másik parancsmagot.
GetConnectorAuthorizations A felhőből való konfiguráláshoz hívás készül a tartalomvédelmi szolgáltatás összekötőiből.
GetRecipients A dokumentumkövetési webhelyről hívással navigálhat egyetlen dokumentum listanézetére.
GetTenantFunctionalState Az Azure Portal ellenőrzi, hogy a védelmi szolgáltatás (vagy Azure Tartalomvédelmi szolgáltatások) aktiválva van-e.
KeyVaultDecryptRequest Az ügyfél megkísérli visszafejteni a tartalomvédelemmel védett tartalmat. Csak egy ügyfél által felügyelt bérlői kulcshoz (BYOK) érvényes az Azure Kulcstárban.
KeyVaultGetKeyInfoRequest Hívás készül annak ellenőrzéséhez, hogy az Azure Information Protection bérlői kulcshoz az Azure Kulcstárban használni szükséges kulcs elérhető-e, és még nincs használatban.
KeyVaultSignDigest A hívás akkor történik, amikor az Azure Kulcstárban egy ügyfél által kezelt kulcsot (BYOK) használnak aláírási célokra. Ezt jellemzően a AcquireLicence (vagy FECreateEndUserLicenseV1), a Minősítés és a GetClientLicensorCert (vagy FECreatePublishingLicenseV1) alapján nevezik.
KMSPDecrypt Az ügyfél megkísérli visszafejteni a tartalomvédelemmel védett tartalmat. Csak egy korábbi, ügyfél által felügyelt bérlői kulcsra (BYOK) vonatkozik.
KMSPSignDigest A hívás akkor történik, ha egy régi, ügyfél által kezelt kulcsot aláírási célokra használnak. Ezt jellemzően a AcquireLicence (vagy FECreateEndUserLicenseV1), a Minősítés és a GetClientLicensorCert (vagy FECreatePublishingLicenseV1) alapján nevezik.
ServerCertify A kiszolgáló tanúsítását egy tartalomvédelmi szolgáltatás által SharePoint ügyféltől származó hívás.
SetUsageLogFeatureState Hívás készül a használati naplózás engedélyezéséhez.
SetUsageLogStorageAccount A rendszer hívással adja meg a szolgáltatásnaplók Azure Tartalomvédelmi szolgáltatások helyét.
UpdateTemplate Egy meglévő sablon frissítéséhez hívás készül az Azure Portalról.

Csak klasszikus ügyfél

A következő kéréstípusok csak az AIP klasszikus ügyfélprogramot használó felhasználói számára relevánsak:

Kérelem típusa Leírás
DeleteTemplateById Az Azure Portalról hívás készül sablon sablonazonosító alapján való törléséhez.
DocumentEventsCsv A dokumentumkövetési webhelyről hívás készül egy .CSV fájl letöltéséhez.
ExportTemplateById Az Azure Portalról hívás készül egy sablon sablonazonosító alapján való exportálására.
FEGetAllTemplates A sablonokhoz mobileszközről (előlapról) hívás készül.
GetAllDocs A hívás a dokumentumkövetési webhelyről készül, hogy betöltsön egy felhasználó minden dokumentumlapját, vagy az összes dokumentumban keressen rá a bérlőre. Ezt az értéket a rendszergazdai művelet és az eljáró rendszergazdai mezőnél használja:

– A rendszergazdai művelet üres: egy felhasználó a dokumentumok minden lapját megtekinti a saját dokumentumai számára.

– A rendszergazdai művelet igaz, és felhasználóként eljárva üres: egy rendszergazda a bérlő összes dokumentumát megtekinti.

– A rendszergazdai művelet igaz, és a felhasználóként való eljárva nem üres: egy rendszergazda a felhasználó összes dokumentumlapját nézi.
GetAllTemplates Az összes sablonhoz hívás készül az Azure Portalról.
GetConnectorAuthorizations A felhőből való konfiguráláshoz hívás készül a tartalomvédelmi szolgáltatás összekötőiből.
GetSingle A dokumentumkövetési webhelyről hívással navigálhat egyetlen dokumentumlapra.
GetTemplateById A hívás az Azure Portalról egy sablon azonosítójának megadásával adhatja meg a sablont.
LoadEventsForMap A dokumentumkövetési webhelyről hívás készül, hogy egyetlen dokumentum térképnézetére navigáljon.
LoadEventsForSummary A dokumentumkövetési webhelyről hívással navigálhat egyetlen dokumentum idősornézetére.
LoadEventsForTimeline A dokumentumkövetési webhelyről hívás készül, hogy egyetlen dokumentum térképnézetére navigáljon.
ImportTemplate Az Azure Portalról hívás készül sablon importálása során.
RevokeAccess A dokumentumkövetési webhelyről hívás készül dokumentum visszavonására.
SearchUsers A dokumentumkövetési webhelyről hívás készül egy bérlő összes felhasználója kereséséhez.
UpdateNotificationSettings A dokumentumkövetési webhelyről hívás készül egyetlen dokumentum értesítési beállításainak módosításához.
UpdateTemplate Egy meglévő sablon frissítéséhez hívás készül az Azure Portalról.

PowerShell –referencia

A védelmi használat naplózásának eléréséhez egyedül a Get-AipServiceUserLog parancsmagravan szüksége.

Az Azure Information Protection PowerShell használatával kapcsolatos további információkért lásd: Az Azure Information Protection felügyelete a PowerShell használatával.