Ведение журнала и анализ использования защиты из Azure Information Protection

Область применения: Azure Information Protection, Office 365

К чему относится: клиент унифицированных меток и классический клиент AIP

Примечание

Для унификации и улучшения работы пользователей поддержка классического клиента Azure Information Protection и клиента управления метками на портале Azure прекращается с 31 марта 2021 г. Хотя классический клиент продолжит работать, дальнейшая поддержка предоставляться не будет и версии для обслуживания классического клиента больше не будут выпускаться.

Рекомендуется перейти на унифицированные метки и выполнить обновление до клиента унифицированных меток. Дополнительные сведения см. в недавней записи блога о прекращении использования.

Используйте эти сведения, чтобы понять, как можно использовать ведение журнала использования для службы защиты (Azure Rights Management) из Azure Information Protection. Эта служба защиты обеспечивает защиту данных для документов и сообщений Организации, а также может регистрировать каждый запрос. действия пользователей при защите документов и электронной почты, а также использовании этого содержимого; действия, выполняемые администраторами для этой службы; действия, выполняемые операторами Майкрософт в рамках поддержки развертывания Azure Information Protection.

Затем эти журналы использования защиты можно использовать для поддержки следующих бизнес-сценариев:

  • Анализ бизнес-информации

    Журналы, созданные службой защиты, могут быть импортированы в выбранный вами репозиторий (например, в базу данных, в систему OLAP или систему Map-reduce) для анализа данных и создания отчетов. Например, можно установить, кто получает доступ к защищенным данным. Можно определить, к каким именно защищаемым данным имеют доступ пользователи, с каких устройств и откуда. Можно выяснить, могут ли пользователи успешно читать защищенное содержимое. Можно также установить, какие пользователи прочли важный защищенный документ.

  • Отслеживание нарушений

    Данные журнала об использовании защиты доступны почти в реальном времени, что позволяет постоянно отслеживать использование службы защиты в Организации. 99,9 % журналов становятся доступными в течение 15 минут после действия, запускающего службу.

    Например, можно получать оповещение, если происходит резкое увеличение количества пользователей, читающих защищенные данные вне стандартного рабочего времени, что может указывать на сбор злоумышленником информации для продажи конкурентам. Также, если один и тот же пользователь получает доступ к данным с разных IP-адресов в течение короткого времени, это может указывать на взлом учетной записи пользователя.

  • Выполнение криминалистического анализа

    Если происходит утечка информации, то скорее всего потребуются сведения о том, кто недавно использовал конкретные документы, и к какой информации имело доступ подозреваемое лицо в последнее время. Вы можете ответить на эти вопросы при использовании этого журнала, так как пользователи, использующие защищенное содержимое, всегда должны получить лицензию на Rights Management, чтобы открывать документы и изображения, защищенные Azure Information Protection, даже если эти файлы перемещены по электронной почте или скопированы на USB-накопители или другие устройства хранения. Это означает, что эти журналы можно использовать как определенный источник информации для судебного анализа при защите данных с помощью Azure Information Protection.

Кроме ведения журнала использования, вам также доступны следующие возможности:

Параметры ведения журнала Описание
Журнал администратора Записывает административные задачи для службы защиты. Пример: отключение службы, когда включена функция суперпользователя или когда пользователям делегируются разрешения администратора на доступ к службе.

Дополнительные сведения см. в описании командлета PowerShell Get-аипсервицеадминлог.
Отслеживание документов Предоставление пользователям возможности отслеживать и отзывать документы, отслеживаемые с помощью клиента Azure Information Protection. Глобальные администраторы также могут отслеживать эти документы от имени пользователей.

См. дополнительные сведения о настройке и использовании отслеживания документов для Azure Information Protection.
Журналы событий клиента Сведения об активности использования для клиента Azure Information Protection, записываемые в локальный журнал событий Приложения и службы Windows под названием Azure Information Protection.

См. дополнительные сведения о ведении журналов использования для клиента Azure Information Protection.
Файлы клиентских журналов Устранение неполадок с журналами клиента Azure Information Protection, расположенными в каталоге %localappdata%\Microsoft\MSIP.

Эти файлы предназначены для службы поддержки Майкрософт.

Кроме того, сведения из журналов использования клиента Azure Information Protection и средства проверки Azure Information Protection собираются и объединяются для создания отчетов на портале Azure. Дополнительные сведения см. в статье Центр отчетов для Microsoft Azure Information Protection.

Дополнительные сведения о ведении журнала использования для службы защиты см. в следующих разделах.

Включение ведения журнала для использования защиты

Ведение журнала использования защиты включено по умолчанию для всех клиентов.

За хранение журналов или работу функции ведения журналов дополнительная плата не взимается.

Доступ к журналам использования защиты и их использование

Azure Information Protection записывает журналы в виде набора больших двоичных объектов в учетную запись хранения Azure, которая автоматически создается для вашего клиента. Каждый BLOB-объект содержит от одной до нескольких записей журнала в расширенном формате журнала W3C. В качестве имен BLOB-объектов используются числа, показывающие порядок их создания. Дополнительные сведения о содержимом журналов и их создании см. в разделе Интерпретация журналов использования службы управления правами Azure далее в этом документе.

После того, как журналы будут отображаться в учетной записи хранения после действия защиты, может потребоваться некоторое время. Большинство журналов появляется в течение 15 минут. Рекомендуется загружать журналы в локальное хранилище, такое как локальная папка, база данных или репозиторий map-reduce.

Чтобы скачать журналы использования, вы будете использовать модуль PowerShell Аипсервице для Azure Information Protection. Инструкции по установке см. в разделе Установка модуля PowerShell для аипсервице.

Загрузка журналов использования с помощью PowerShell

  1. Запустите Windows PowerShell с параметром Запуск от имени администратора и подключитесь к Azure Information Protection с помощью командлета Connect-аипсервице :

    Connect-AipService
    
  2. Выполните следующую команду, чтобы загрузить журналы за определенную дату:

    Get-AipServiceUserLog -Path <location> -fordate <date>
    

    Например, если на диске E: была создана папка Logs:

    • Чтобы скачать журналы за определенную дату (например, 01.02.2016), выполните следующую команду: Get-AipServiceUserLog -Path E:\Logs -fordate 2/1/2016

    • Чтобы скачать журналы за диапазон дат (например, с 01.02.2016 по 14.02.2016), выполните следующую команду: Get-AipServiceUserLog -Path E:\Logs -fromdate 2/1/2016 –todate 2/14/2016

При указании только одного дня, как в наших примерах, предполагается, что указано время 00:00:00 по местному времени, которое затем преобразуется в формат UTC. Если время указано с помощью параметра -fromdate или -todate (например, -fordate 2/1/2016 15:00:00), дата и время преобразуются в формат UTC. Затем команда Get-AipServiceUserLog получает журналы для этого периода времени в формате UTC.

Нельзя задать для скачивания журнала время меньше, чем целый день.

По умолчанию этот командлет использует для скачивания журналов три потока. Если пропускная способность вашей сети достаточна и вы хотите уменьшить время загрузки журналов, используйте параметр -NumberOfThreads, который может принимать значения от 1 до 32. Например, если вы выполните следующую команду, командлет создаст для скачивания журналов 10 потоков: Get-AipServiceUserLog -Path E:\Logs -fromdate 2/1/2016 –todate 2/14/2016 -numberofthreads 10

Совет

Можно включить все скачанные файлы журналов в файл CSV с помощью средства синтаксического анализа журналов Майкрософт, которое преобразовывает разные популярные форматы журналов. Кроме того, этот инструмент можно также использовать для преобразования данных в формат SYSLOG или для импорта их в базу данных. После установки этого инструмента выполните команду LogParser.exe /?, чтобы получить справку и сведения о его использовании.

Например, для импорта всей информации в формате LOG-файла можно выполнить следующую команду: logparser –i:w3c –o:csv "SELECT * INTO AllLogs.csv FROM *.log"

Как интерпретировать журналы использования

Используйте следующие сведения, чтобы интерпретировать журналы использования защиты.

Последовательность журналов

Azure Information Protection записывает журналы в виде набора больших двоичных объектов.

Каждая запись в журнале имеет метку времени в формате UTC. Поскольку служба защиты работает на нескольких серверах в нескольких центрах обработки данных, иногда журналы могут оказаться непоследовательными, даже если они сортируются по отметке времени. Однако такая погрешность невелика и обычно не превышает одной минуты. В большинстве случаев это не представляет проблему для анализа журналов.

Формат BLOB-объекта

Каждый BLOB-объект находится в расширенном формате журналов W3C. Он начинается со следующих двух строк.

#Software: RMS

#Version: 1,1

Первая строка указывает, что это журналы защиты от Azure Information Protection. Вторая строка указывает, что остальная часть большого двоичного объекта соответствует версии 1.1 спецификации. Рекомендуется, чтобы любые приложения, выполняющие анализ этих журналов, проверяли эти две строки, прежде чем анализировать остальную часть BLOB-объекта.

В третьей строке перечисляются имена полей, разделенные табуляциями:

#Fields: date      time      row-id      request-type      user-id      result      correlation-id      content-id      owner-email      issuer      template-id      file-name      date-published      c-info      c-ip      admin-action      acting-as-user

Все следующие строки являются записями журнала. Значения полей находятся в том же порядке, как указано в третьей строке, и разделяются табуляциями. Для интерпретации этих полей используйте следующую таблицу.

Имя поля Тип данных W3C Описание Пример значения
date Дата Дата обслуживания запроса в формате UTC.

Источник — локальные часы сервера, обслужившего запрос.
2013-06-25
time Время Время UTC в 24-часовом формате, когда запрос был обработан.

Источник — локальные часы сервера, обслужившего запрос.
21:59:28
Идентификатор строки текст Уникальный GUID для этой записи журнала. Если значение не указано, для идентификации записи используется значение correlation-id.

Это значение удобно использовать при объединении журналов или копировании журналов в другой формат.
1c3fe7a9-d9e0-4654-97b7-14fafa72ea63
Тип запроса Имя Имя запрошенного API RMS. AcquireLicense
Идентификатор пользователя Строка Пользователь, отправивший запрос.

Значение заключается в одинарные кавычки. Вызовы из ключа клиента, который управляется вами (BYOK), имеют значение ", применяемое также с анонимными типами запросов.
‘joe@contoso.com’
result Строка Значение "Success", если запрос был обработан успешно.

Тип ошибки в одинарных кавычках, если запрос завершился неудачно.
'Success'
Идентификатор корреляции текст GUID, который для данного запроса является общим в клиентском и серверном журналах RMS.

Это значение может быть полезно при устранении проблем клиента.
cab52088-8925-4371-be34-4b71a3112356
Content-ID текст GUID, заключенный в фигурные скобки, который идентифицирует защищенный контент (например, документ).

Это поле имеет значение только в том случае, если request-type имеет значение AcquireLicense; для всех остальных типов запросов это поле пустое.
{bb4af47b-cfed-4719-831d-71b98191a4f2}
owner-email Строка Адрес электронной почты владельца документа.

Если тип запроса — RevokeAccess, это поле пусто.
alice@contoso.com
поставщиков Строка Адрес электронной почты эмитента документа.

Если тип запроса — RevokeAccess, это поле пусто.
alice@contoso.com (или) FederatedEmail.4c1f4d-93bf-00a95fa1e042@contoso.onmicrosoft.com'
Идентификатор шаблона Строка Идентификатор шаблона, используемый для защиты документа.

Если тип запроса — RevokeAccess, это поле пусто.
{6d9371a6-4e2d-4e97-9a38-202233fed26e}
имя файла Строка Имя файла защищенного документа, которое отслеживается с помощью клиента Azure Information Protection.

Сейчас некоторые файлы (например, документы Office) отображаются с идентификаторами GUID вместо фактических имен файла.

Если тип запроса — RevokeAccess, это поле пусто.
TopSecretDocument.docx
date-published Дата Дата, когда документ был защищен.

Если тип запроса — RevokeAccess, это поле пусто.
2015-10-15T21:37:00
c-info Строка Сведения о клиентской платформе, с которой был выполнен запрос.

Конкретная строка зависит от приложения (например, от операционной системы или браузера).
'MSIPC;version=1.0.623.47;AppName=WINWORD.EXE;AppVersion=15.0.4753.1000;AppArch=x86;OSName=Windows;OSVersion=6.1.7601;OSArch=amd64'
c — IP-адрес Адрес IP-адрес клиента, из которого был сделан запрос. 64.51.202.144
admin-action Bool Получал ли администратор доступ к сайту отслеживания документов в режиме администратора. True
acting-as-user Строка Адрес электронной почты пользователя, для которого администратор получает доступ к сайту отслеживания документов. 'joe@contoso.com'

Исключения для поля user-id

Хотя поле user-id обычно указывает пользователя, сделавшего запрос, имеется два исключения, когда значение этого поля не соответствует реальному пользователю.

  • Значение 'microsoftrmsonline@<ИД_клиента>.rms.<регион>.aadrm.com'.

    Это означает, что запрос создается службой Office 365, такой как Exchange Online или Microsoft SharePoint. В строке < йоуртенантид > — это идентификатор GUID клиента, а < регион > — регион, в котором зарегистрирован клиент. Например na представляет Северную Америку, eu представляет Европу, а ap представляет Азию.

  • При использовании соединителя RMS.

    Запросы от этого соединителя регистрируются с именем субъекта-службы Aadrm_S-1-7-0, которое автоматически создается при установке соединителя RMS.

Распространенные типы запросов

Существует много типов запросов для службы защиты, но в следующей таблице приведены некоторые из наиболее часто используемых типов запросов.

Тип запроса Описание
AcquireLicense Клиент с компьютера под управлением Windows запрашивает лицензию для защищенного содержимого.
AcquirePreLicense Клиент, от имени пользователя, запрашивает лицензию для защищенного содержимого.
AcquireTemplates Был выполнен вызов для получения шаблонов по идентификаторам шаблонов.
AcquireTemplateInformation Был выполнен вызов для получения идентификаторов шаблона от службы.
AddTemplate Выполняется вызов для добавления шаблона с портала Azure.
AllDocsCsv Выполняется вызов с сайта отслеживания документов для скачивания CSV-файла со страницы Все документы.
BECreateEndUserLicenseV1 Выполняется вызов для создания лицензии конечного пользователя с мобильного устройства.
BEGetAllTemplatesV1 Выполняется вызов для получения всех шаблонов (внутренних) с мобильного устройства.
Certify Клиент сертифицирует пользователя для использования и создания защищенного содержимого.
FECreateEndUserLicenseV1 Аналогичен типу запроса AcquireLicense, но для мобильных устройств.
FECreatePublishingLicenseV1 Этот тип аналогичен объединению типов Certify и GetClientLicensorCert, но для мобильных клиентов.
FEGetAllTemplates Выполняется вызов для получения шаблонов (клиентских) с мобильного устройства.
FindServiceLocationsForUser Выполняется вызов для запроса URL-адресов, который используется для вызова Certify или AcquireLicense.
GetClientLicensorCert Клиент запрашивает сертификат издателя (который впоследствии будет использоваться для защиты контента) от компьютера с ОС Windows.
GetConfiguration Вызывается командлет Azure PowerShell для получения конфигурации клиента Azure RMS.
GetConnectorAuthorizations Выполняется вызов из соединителей RMS для получения их конфигурации из облака.
GetRecipients Выполняется вызов с сайта отслеживания документов для перехода к представлению списка для одного документа.
GetTenantFunctionalState Портал Azure проверяет, активирована ли служба защиты (Azure Rights Management).
KeyVaultDecryptRequest Клиент пытается расшифровать защищенное RMS-содержимое. Применимо только для ключа клиента, которым управляет пользователь (BYOK), в хранилище ключей Azure.
KeyVaultGetKeyInfoRequest Вызов выполняется, чтобы убедиться, что ключ, указанный для использования в хранилище ключей Azure для ключа клиента Azure Information Protection, доступен и еще не применяется.
KeyVaultSignDigest Вызов выполняется при использовании ключа BYOK в хранилище ключей Azure с целью подписи. Этот вызов обычно выполняется один раз для AcquireLicence (или FECreateEndUserLicenseV1), Certify и GetClientLicensorCert (или FECreatePublishingLicenseV1).
KMSPDecrypt Клиент пытается расшифровать защищенное RMS-содержимое. Применимо только для устаревшего ключа клиента, которым управляет пользователь (BYOK).
KMSPSignDigest Вызов выполняется при использовании устаревшего ключа BYOK с целью подписи. Этот вызов обычно выполняется один раз для AcquireLicence (или FECreateEndUserLicenseV1), Certify и GetClientLicensorCert (или FECreatePublishingLicenseV1).
ServerCertify Выполняется вызов для удостоверения сервера из клиента с поддержкой RMS (например, SharePoint).
SetUsageLogFeatureState Выполняется вызов для включения ведения журналов использования.
SetUsageLogStorageAccount Выполняется вызов для указания местоположения журналов службы Azure Rights Management.
UpdateTemplate Выполняется вызов для обновления существующего шаблона с портала Azure.

Только классический клиент

Следующие типы запросов важны только для пользователей с классическим клиентом "точка административной установки":

Тип запроса Описание
DeleteTemplateById Выполняется вызов для удаления шаблона с портала Azure по идентификатору шаблона.
DocumentEventsCsv Выполняется вызов с сайта отслеживания документов для скачивания CSV-файла для одного документа.
ExportTemplateById Выполняется вызов для экспорта шаблона с портала Azure по идентификатору шаблона.
FEGetAllTemplates Выполняется вызов для получения шаблонов (клиентских) с мобильного устройства.
GetAllDocs Выполняется вызов с сайта отслеживания документов для загрузки страницы Все документы для пользователя или для поиска всех документов клиента. Используйте это значение с полями admin-action и acting-as-admin:

— поле admin-action пусто: пользователь просматривает страницу Все документы со своими собственными документами;

— поле admin-action имеет значение true, поле acting-as-user пусто: администратор просматривает все документы для своего клиента;

— поле admin-action имеет значение true, поле acting-as-user не пусто: администратор просматривает страницу Все документы для пользователя.
GetAllTemplates Выполняется вызов для получения всех шаблонов с портала Azure.
GetConnectorAuthorizations Выполняется вызов из соединителей RMS для получения их конфигурации из облака.
GetSingle Выполняется вызов с сайта отслеживания документов для перехода к странице одного документа.
GetTemplateById Выполняется вызов для получения шаблона с портала Azure по идентификатору шаблона.
LoadEventsForMap Выполняется вызов с сайта отслеживания документов для перехода к представлению сопоставления для одного документа.
LoadEventsForSummary Выполняется вызов с сайта отслеживания документов для перехода к представлению временной шкалы для одного документа.
LoadEventsForTimeline Выполняется вызов с сайта отслеживания документов для перехода к представлению сопоставления для одного документа.
ImportTemplate Выполняется вызов для импорта шаблона с портала Azure.
Revokeaccess — Выполняется вызов с сайта отслеживания документов для отзыва документа.
SearchUsers Выполняется вызов с сайта отслеживания документов для поиска всех пользователей в клиенте.
UpdateNotificationSettings Выполняется вызов с сайта отслеживания документов для изменения параметров уведомлений для одного документа.
UpdateTemplate Выполняется вызов для обновления существующего шаблона с портала Azure.

Справочник по PowerShell

Единственный командлет PowerShell, необходимый для доступа к журналу использования защиты, — Get-аипсервицеусерлог.

Дополнительные сведения об использовании PowerShell для Azure Information Protection см. в статье Администрирование защиты из Azure Information Protection с помощью PowerShell.