Azure Information Protection koruma kullanımını günlüğe kaydetme ve çözümleme

Uygulama hedefi: Azure Information Protection, Office 365

İlgili: AIP birleştirilmiş etiketleme istemcisi ve klasik istemci

Not

Birleşik ve kolaylaştırılmış bir müşteri deneyimi sağlamak için Azure portalındaki Azure Information Protection Klasik istemci ve etiket yönetimi 31 Mart 2021 itibarıyla kullanım dışıdır . Klasik istemci yapılandırıldığı şekilde çalışmaya devam ederken, başka bir destek sağlanmaz ve artık klasik istemci için bakım sürümleri yayınlanmayacaktır.

Birleşik etiketlemeye geçiş yapmanızı ve Birleşik etiketleme istemcisineyükseltmenizi öneririz. Son kullanımdan kaldırma blogumuzhakkında daha fazla bilgi edinin.

Azure Information Protection koruma hizmeti (Azure Rights Management) için kullanım günlüğünü nasıl kullanabileceğinizi anlamanıza yardımcı olması için bu bilgileri kullanın. Bu koruma hizmeti, kuruluşunuzun belgeleri ve e-postaları için veri koruması sağlar ve her isteği günlüğe kaydedebilir. Bu istekler, kullanıcıların belgeleri ve e-postaları koruduğu ve bu içeriği, bu hizmet için yöneticileriniz tarafından gerçekleştirilen eylemleri ve Microsoft işleçleri tarafından Azure Information Protection Dağıtımınızı desteklemek için gerçekleştirilen eylemleri de kullanır.

Ardından, aşağıdaki iş senaryolarını desteklemek için bu koruma kullanım günlüklerini kullanabilirsiniz:

  • İşle ilgili bilgileri analiz etme

    Koruma hizmeti tarafından oluşturulan Günlükler, bilgileri analiz etmek ve raporlar oluşturmak için seçtiğiniz bir depoya (bir veritabanı, bir çevrimiçi analitik işlem (OLAP) sistemi veya bir harita azaltma sistemi) aktarılabilir. Örneğin, korumalı verilerinize kimin erişmekte olduğunu belirleyebilirsiniz. Kişilerin eriştiği korumalı verileri ve hangi cihazlardan ve nereden eriştiklerini belirleyebilirsiniz. Kişilerin korumalı içeriği başarılı şekilde okuyup okuyamadığını ortaya çıkarabilirsiniz. Ayrıca, hangi kişilerin korunan önemli bir belgeyi okuduğunu belirleyebilirsiniz.

  • Uygunsuz kullanım izleme

    Koruma kullanımı hakkındaki günlüğe kaydetme bilgileri, şirketinizin koruma hizmeti kullanımını sürekli olarak izleyebilmeniz için neredeyse gerçek zamanlı olarak sunulmaktadır. Hizmete başlatılan bir eylemde 15 dakika içinde günlüklerin %99,9’u kullanılabilir.

    Örneğin, kötü niyetli bir kullanıcının rakiplere satmak üzere bilgi topladığını gösterecek şekilde, standart çalışma saatleri dışında korumalı verileri okuyan kişilerin sayısında ani bir artış olduğunda uyarı almak isteyebilirsiniz. Veya, bir kullanıcı hesabının tehlikede olduğunu gösterebilecek şekilde, aynı kullanıcı açık bir biçimde, kısa bir süre içinde iki farklı IP adresinden verilere erişiyorsa.

  • Adli analiz gerçekleştirme

    Bilgi sızıntısı varsa, belirli belgelere en son kimin eriştiği ve şüpheli bir kişinin en son hangi bilgilere eriştiği tarafınıza muhtemelen sorulacaktır. Korumalı içerik kullanan kişilerin, bu dosyalar e-posta ile taşınmış veya USB sürücülerine ya da diğer depolama cihazlarına kopyalansa dahi, Azure Information Protection tarafından korunan belgeleri ve resimleri açmak için her zaman Rights Management bir lisans alması gerektiğinden, bu günlüğe kaydetme kullandığınızda bu tür sorulara yanıt verebilirsiniz. Bu, Azure Information Protection kullanarak verilerinizi koruduğunuzda, bu günlükleri Adli analiz için kesin bilgi kaynağı olarak kullanabileceğiniz anlamına gelir.

Bu kullanım günlüğüne ek olarak aşağıdaki günlüğe kaydetme seçeneklerine de sahipsiniz:

Günlüğe kaydetme seçeneği Açıklama
Yönetici günlüğü Koruma hizmeti için yönetim görevlerini günlüğe kaydeder. Örneğin, hizmet devre dışı bırakılmışsa, Süper Kullanıcı özelliği etkinleştirildiğinde ve kullanıcılar hizmete yönetici izinleri atandığında.

Daha fazla bilgi için bkz. Get-AıpserviceadminlogPowerShell cmdlet 'i.
Belge izleme Kullanıcıların Azure Information Protection istemcisiyle izledikleri belgeleri izlemesine ve iptal etmesine olanak tanır. Genel Yöneticiler, bu belgeleri Kullanıcı adına de izleyebilir.

Daha fazla bilgi için bkz. Azure Information Protection için belge Izlemeyi yapılandırma ve kullanma.
İstemci olay günlükleri Azure Information Protection istemcisi için kullanım etkinliği, yerel Windows Uygulamaları ve Hizmetleri olay günlüğünde günlüğe kaydedilir, Azure Information Protection.

Daha fazla bilgi için bkz. Azure Information Protection istemcisi Için kullanım günlüğü.
İstemci günlük dosyaları %LocalAppData%\microsoft\msıp konumunda bulunan Azure Information Protection istemcisi için sorun giderme günlükleri.

Bu dosyalar Microsoft Desteği için tasarlanmıştır.

Ayrıca, Azure Information Protection istemci kullanım günlüklerinden bilgiler ve Azure Information Protection tarayıcısı Azure portal rapor oluşturmak için toplanır ve toplanır. Daha fazla bilgi için bkz. Azure Information Protection Için raporlama.

Koruma hizmeti için kullanım günlüğü hakkında daha fazla bilgi için aşağıdaki bölümleri kullanın.

Koruma kullanımı için günlüğe kaydetmeyi etkinleştirme

Koruma kullanımı günlüğü, tüm müşteriler için varsayılan olarak etkindir.

Günlük kaydı depolama veya günlük kaydı özelliği işlevi için ekstra maliyet yoktur.

Koruma kullanım günlüklerinizi erişme ve kullanma

Azure Information Protection, günlüğü, kiracınız için otomatik olarak oluşturduğu bir Azure depolama hesabına blob serisi olarak yazar. Her bir blob, W3C genişletilmiş günlük biçiminde, bir veya daha fazla günlük kaydı içerir. Blob adları, oluşturuldukları sıraya göre aldıkları rakamlardan oluşur. Bu belgede ileriki kısımda yer alan Azure Rights Management kullanım günlüklerinizi yorumlama bölümünde, günlük içerikleri ve oluşturulmalarıyla ilgili daha fazla bilgi bulunmaktadır.

Bir koruma eyleminden sonra günlüklerin depolama hesabınızda görünmesi biraz zaman alabilir. Çoğu günlük, 15 dakika içinde görünür. Günlükleri, yerel bir klasör, bir veritabanı veya map-reduce deposu gibi yerel depolama alanına indirmenizi öneririz.

Kullanım günlüklerinizi indirmek için, Aıpservice PowerShell modülünü Azure Information Protection için kullanacaksınız. Yükleme yönergeleri için bkz. Aıpservice PowerShell modülünü yükleme.

Kullanım günlüklerinizi PowerShell kullanarak indirmek için

  1. Windows PowerShell 'i yönetici olarak çalıştır seçeneğiyle başlatın ve Connect-aıpservice cmdlet 'ini kullanarak Azure Information Protection bağlanın:

    Connect-AipService
    
  2. Belirli bir tarihteki günlükleri indirmek için, aşağıdaki komutu çalıştırın:

    Get-AipServiceUserLog -Path <location> -fordate <date>
    

    Örneğin, E: sürücünüzde Günlükler adlı bir klasör oluşturduktan sonra:

    • Belirli bir tarihe (örneğin, 01.02.2016) ilişkin günlükleri indirmek için aşağıdaki komutu çalıştırın: Get-AipServiceUserLog -Path E:\Logs -fordate 2/1/2016

    • Bir tarih aralığındaki (örneğin 01.02.2016’dan 14.02.2016’ya kadar) günlükleri indirmek için aşağıdaki komutu çalıştırın: Get-AipServiceUserLog -Path E:\Logs -fromdate 2/1/2016 –todate 2/14/2016

Yalnızca günü belirttiğinizde, örneklerimizde olduğu gibi, saatin yerel saatinizle 00:00:00 olduğu varsayılır ve ardından UTC'ye dönüştürülür. -fromdate veya -todate parametrelerinizle bir saat belirttiğinizde (örneğin, -fordate "1/2/2016 15:00:00"), o tarih ve saat UTC’ye dönüştürülür. Get-AipServiceUserLog komutu, bu UTC zaman döneminin günlüklerini alır.

İndirmek için bir tam günden azını belirtemezsiniz.

Varsayılan olarak, bu cmdlet günlükleri indirmek için üç iş parçacığı kullanır. Yeterli ağ bant genişliğine sahipseniz ve günlükleri indirmek için gereken süreyi azaltmak istiyorsanız, 1 ila 32 arasında bir değeri destekleyen -NumberOfThreads parametresini kullanın. Örneğin, şu komutu çalıştırırsanız cmdlet, günlükleri indirmek için 10 iş parçacığı üretir: Get-AipServiceUserLog -Path E:\Logs -fromdate 2/1/2016 –todate 2/14/2016 -numberofthreads 10

İpucu

Çeşitli iyi bilinen günlük biçimleri arasında dönüştürme yapmak için bir araç olan Microsoft'un Günlük Ayrıştırıcısı’nı kullanarak, indirilen tüm günlük dosyalarınızı bir CSV biçiminde bir araya getirebilirsiniz. Bu aracı, verileri SYSLOG biçimine dönüştürmek için veya bir veritabanı içine aktarmak içinde de kullanabilirsiniz. Aracı yükledikten sonra, bu aracı kullanmayla ilgili yardım ve bilgiler için LogParser.exe /? çalıştırın.

Örneğin, tüm bilgileri .log dosyası biçiminde içeri aktarmak için şu komutu çalıştırabilirsiniz: logparser –i:w3c –o:csv "SELECT * INTO AllLogs.csv FROM *.log"

Kullanım günlüklerinizi yorumlama

Koruma kullanım günlüklerini yorumlamanıza yardımcı olması için aşağıdaki bilgileri kullanın.

Günlük sırası

Azure Information Protection, günlükleri bir dizi blob olarak yazar.

Günlükteki her girişin bir UTC zaman damgası vardır. Koruma hizmeti birden çok veri merkezinde birden çok sunucu üzerinde çalıştığından, bazen zaman damgalarına göre sıralandığında bile Günlükler sıra dışı görünebilir. Ancak, fark küçüktür ve genellikle bir dakika içinde gerçekleşir. Çoğu durumda bu, günlük analizi için sorun oluşturacak bir konu değildir.

Blob biçimi

Her bir blob W3C genişletilmiş günlük biçimindedir. Aşağıdaki iki satır ile başlar:

#Software: RMS

#Version: 1.1

İlk satır, bunların Azure Information Protection koruma günlükleri olduğunu tanımlar. İkinci satır, blob’un geri kalanının sürüm 1.1 belirtimini izlediğini belirtir. Bu günlükleri ayrıştıran herhangi bir uygulamanın, blob’un geri kalanını ayrıştırmaya devam etmeden önce bu günlükleri doğrulamasını öneririz.

Üçüncü satır, sekmelerle ayrılmış bir alan adları listesini numaralandırır:

#Fields: Tarih saat satır-kimliği istek-tür Kullanıcı kimliği sonuç bağıntı-kimliği Content-ID Owner-e-posta veren şablon-kimliği dosya-adı tarih-yayımlandı c-info c--as-user

Sonraki satırların her biri bir günlük kaydıdır. Alanların değerleri, önceki satırla aynı sıradadır ve sekmelerle ayrılır. Alanları yorumlamak için aşağıdaki tabloyu kullanın.

Alan adı W3C veri türü Açıklama Örnek değer
date Tarih İsteğin sunulduğu UTC tarihi.

Kaynak, isteği sunan sunucudaki yerel saattir.
2013-06-25
Zaman Saat İsteğin sunulduğu, 24 saat biçimli UTC saati.

Kaynak, isteği sunan sunucudaki yerel saattir.
21:59:28
row-id Metin Bu günlük kaydı için benzersiz GUID. Bir değer yoksa girişi tanımlamak için correlation-id değerini kullanın.

Bu değer, günlükleri başka bir biçimde kopyaladığınızda veya topladığınızda kullanışlıdır.
1c3fe7a9-d9e0-4654-97b7-14fafa72ea63
request-type Name İstenen RMS API adı. AcquireLicense
user-id Dize İsteği yapan kullanıcı.

Değer, tekli tırnak işaretleri içine alınır. Sizin tarafınızdan yönetilen bir kiracı anahtarından (BYOK) yapılan çağrılar " değerine sahip ve bu durum istek türleri anonim olduğunda da geçerli.
‘joe@contoso.com’
Sonuç Dize İstek başarıyla sunulduysa 'Başarılı' şeklindedir.

İstek başarısız olursa hata türü tekli tırnak işaretleri içindedir.
'Başarılı'
correlation-id Metin RMS istemci günlüğü ve belirli bir istek için sunucu günlüğü arasında ortak olan GUID.

Bu değer, istemci sorunlarını gidermeye yardımcı olmak için yararlı olabilir.
cab52088-8925-4371-be34-4b71a3112356
content-id Metin Süslü ayraçlar içindeki, korumalı içeriği belirten (örneğin bir belge) GUID.

Yalnızca request-type, AcquireLicense ise bu alanda bir değer vardır ve diğer tüm istek türleri için boştur.
{bb4af47b-cfed-4719-831d-71b98191a4f2}
owner-email Dize Belge sahibinin e-posta adresi.

İstek türü RevokeAccess ise bu alan boş olur.
alice@contoso.com
Veren Dize Belgeyi verenin e-posta adresi.

İstek türü RevokeAccess ise bu alan boş olur.
alice@contoso.com (veya) FederatedEmail.4c1f4d-93bf-00a95fa1e042@contoso.onmicrosoft.com'
template-id Dize Belgeyi korumak için kullanılan şablonun kimliği.

İstek türü RevokeAccess ise bu alan boş olur.
{6d9371a6-4e2d-4e97-9a38-202233fed26e}
dosya-adı Dize Windows için Azure Information Protection kullanılarak izlenmiş korumalı bir belgenin dosya adı.

Şu anda bazı dosyalar (Office belgeleri gibi) gerçek dosya adı yerine GUID olarak görüntülenir.

İstek türü RevokeAccess ise bu alan boş olur.
TopSecretDocument.docx
date-published Tarih Belgenin korunduğu tarih.

İstek türü RevokeAccess ise bu alan boş olur.
2015-10-15T21:37:00
c-info Dize İsteği yapan istemci platformu hakkında bilgi.

Spesifik dize, uygulamaya bağlı olarak değişir (örneğin, işletim sistemi veya tarayıcı).
'MSIPC;version=1.0.623.47;AppName=WINWORD.EXE;AppVersion=15.0.4753.1000;AppArch=x86;OSName=Windows;OSVersion=6.1.7601;OSArch=amd64'
c-ip Adres İsteği yapan istemcinin IP adresi. 64.51.202.144
admin-action Bool Bir yöneticinin belge izleme sitesine Yönetici modunda erişip erişmediği. Doğru
acting-as-user Dize Bir yöneticinin kendisi için belge izleme sitesine eriştiği kullanıcının e-posta adresi. 'joe@contoso.com'

user-id alanı için özel durumlar

user-id alanı genellikle isteği yapan kullanıcıyı gösterse de, değerin gerçek bir kullanıcıyla eşleşmediği iki özel durum vardır:

  • 'microsoftrmsonline@<KiracıKimliğiniz>.rms.<bölge>.aadrm.com' değeri.

    Bu, Exchange Online veya Microsoft SharePoint gibi bir Office 365 hizmetinin istekte olduğunu gösterir. Dizede < YourTenantID, > kiracınız için GUID değeridir < ve > bölge, kiracının kayıtlı olduğu bölgedir. Örneğin, na Kuzey Amerika’yı temsil eder, eu Avrupa’yı temsil eder ve ap Asya’yı temsil eder.

  • RMS bağlayıcısını kullanıyorsanız.

    Bu bağlayıcıdan gelen istekler, RMS bağlayıcısını yüklediğinizde otomatik olarak oluşturulan Aadrm_S-1-7-0 hizmet asıl adı ile günlüğe kaydedilir.

Tipik istek türleri

Koruma hizmeti için birçok istek türü vardır, ancak aşağıdaki tabloda en sık kullanılan istek türlerinden bazıları tanım edilmektedir.

İstek türü Açıklama
AcquireLicense Windows tabanlı bir bilgisayardan gelen bir istemci, korumalı içerik için bir lisans talep ediyor.
AcquirePreLicense Kullanıcı adına bir istemci, korumalı içerik için bir lisans talep ediyor.
AcquireTemplates Şablon kimlikleri temel alınarak şablon almak üzere bir çağrı yapıldı
AcquireTemplateInformation Hizmetten şablon kimliklerini almak için bir çağrı yapıldı.
AddTemplate Şablon eklemek için Azure portal çağrısı yapılır.
AllDocsCsv Tüm Belgeler sayfasından CSV dosyasını indirmek için belge izleme sitesinden bir çağrı yapılır.
BECreateEndUserLicenseV1 Bir mobil cihazdan bir son kullanıcı lisansı oluşturmak için bir çağrı yapılır.
BEGetAllTemplatesV1 Bir mobil cihazdan (arka uç) tüm şablonları almak için bir çağrı yapılır.
Certify İstemci, kullanıcıya korumalı içeriğin tüketimini ve oluşturulmasını onaylar.
FECreateEndUserLicenseV1 AcquireLicense ile benzemektedir, ancak mobil cihazlardandır.
FECreatePublishingLicenseV1 Certify ve GetClientLicensorCert’in birleşik şekilde olmasıyla aynıdır, mobil istemcilerdendir.
FEGetAllTemplates Bir mobil cihazdan (ön uç) şablonları almak için bir çağrı yapılır.
FindServiceLocationsForUser Certify veya AcquireLicense çağırmak için kullanılan URL'leri sorgulamak için bir çağrı yapılır.
GetClientLicensorCert İstemci, Windows tabanlı bir bilgisayardan bir yayımlama sertifikası (daha sonra içeriği korumak için kullanılan) istiyor.
GetConfiguration Azure RMS kiracısının yapılandırmasını almak için bir Azure PowerShell cmdlet’i çağrılır.
GetConnectorAuthorizations RMS bağlayıcılardan, buluttan yapılandırmalarını almak için bir çağrı yapılır.
GetRecipients Belge izleme sitesinden, tek bir belge için liste görünümüne gitmek üzere bir çağrı yapılır.
GetTenantFunctionalState Bu Azure portal, koruma hizmetinin (Azure Rights Management) etkinleştirilip etkinleştirilme olmadığını kontrol ediyor.
KeyVaultDecryptRequest İstemci, RMS korumalı içeriğin şifresini çözmeye çalışıyor. Yalnızca Azure Anahtar Kasası’nda müşteri tarafından yönetilen kiracı anahtarı (BYOK) için geçerlidir.
KeyVaultGetKeyInfoRequest Azure Information Protection kiracı anahtarı için Azure Anahtar Kasası’nda kullanılmak üzere belirtilen anahtarın erişilebilir olduğunu ve zaten kullanılmadığını doğrulamak için bir çağrı yapılır.
KeyVaultSignDigest Azure Anahtar Kasası’nda imzalama amacıyla müşteri tarafından yönetilen bir kiracı anahtarı (BYOK) kullanıldığında bir çağrı yapılır. Bu genellikle, AcquireLicence (veya FECreateEndUserLicenseV1), Certify ve GetClientLicensorCert (veya FECreatePublishingLicenseV1) için bir kez çağrılır.
KMSPDecrypt İstemci, RMS korumalı içeriğin şifresini çözmeye çalışıyor. Yalnızca eski müşteri tarafından yönetilen kiracı anahtarı (BYOK) için geçerlidir.
KMSPSignDigest İmzalama amacıyla eski bir müşteri tarafından yönetilen kiracı anahtarı (BYOK) kullanıldığında bir çağrı yapılır. Bu genellikle, AcquireLicence (veya FECreateEndUserLicenseV1), Certify ve GetClientLicensorCert (veya FECreatePublishingLicenseV1) için bir kez çağrılır.
ServerCertify RMS özellikli bir istemciden (SharePoint gibi), sunucuyu onaylamak için bir çağrı yapılır.
SetUsageLogFeatureState Kullanım günlük kaydını etkinleştirmek için bir çağrı yapılır.
SetUsageLogStorageAccount Azure Rights Management hizmeti günlüklerinin konumunu belirtmek için bir çağrı yapılır.
UpdateTemplate Mevcut şablonu güncelleştirmek için Azure portal çağrısı yapılır.

Yalnızca klasik istemci

Aşağıdaki istek türleri yalnızca AIP klasik istemcisi olan kullanıcılar için alakalıdır:

İstek türü Açıklama
DeleteTemplateById Şablon kimliğine göre Azure portal için bir çağrı yapılır.
DocumentEventsCsv Belge izleme sitesinden, tek bir belgenin .CSV dosyasını indirmek için bir çağrı yapılır.
ExportTemplateById Şablon kimliğine göre Azure portal dışarı aktarmaya için bir çağrı yapılır.
FEGetAllTemplates Bir mobil cihazdan (ön uç) şablonları almak için bir çağrı yapılır.
GetAllDocs Belge izleme sitesinden, bir kullanıcının tüm belgeler sayfasını yüklemek veya kiracının tüm belgelerini aramak için bir çağrı yapılır. admin-action ve acting-as-admin alanları ile bu değeri kullanın:

- admin-action boş: Bir kullanıcı kendi belgeleri için tüm belgeler sayfasını görüntüler.

- admin-action değeri true ve acting-as-user boş: Bir yönetici kiracısının tüm belgelerini görüntüler.

- admin-action değeri true ve acting-as-user boş değil: Bir yönetici bir kullanıcının tüm belgeler sayfasını görüntüler.
GetAllTemplates Tüm şablonları almak için Azure portal çağrısı yapılır.
GetConnectorAuthorizations RMS bağlayıcılardan, buluttan yapılandırmalarını almak için bir çağrı yapılır.
GetSingle Belge izleme sitesinden, tek bir belgenin sayfasına gitmek üzere bir çağrı yapılır.
GetTemplateById Şablon kimliği belirterek Azure portal almak için şablondan bir çağrı yapılır.
LoadEventsForMap Belge izleme sitesinden, tek bir belgenin eşleme görünümüne gitmek için bir çağrı yapılır.
LoadEventsForSummary Belge izleme sitesinden, tek bir belgenin zaman çizelgesi görünümüne gitmek için bir çağrı yapılır.
LoadEventsForTimeline Belge izleme sitesinden, tek bir belgenin eşleme görünümüne gitmek için bir çağrı yapılır.
ImportTemplate Şablondan, şablonu içeri Azure portal için bir çağrı yapılır.
RevokeAccess Belge izleme sitesinden, bir belgeyi iptal etmek için bir çağrı yapılır.
SearchUsers Belge izleme sitesinden, bir kiracıdaki tüm belgeleri aramak için bir çağrı yapılır.
UpdateNotificationSettings Belge izleme sitesinden, tek bir belgenin bildirim ayarlarını değiştirmek için bir çağrı yapılır.
UpdateTemplate Mevcut şablonu güncelleştirmek için Azure portal çağrısı yapılır.

PowerShell başvurusu

Koruma kullanım günlük kaydınıza erişmek için ihtiyacınız olan tek PowerShell cmdlet'i Get-AipServiceUserLog cmdlet'tir.

PowerShell'i uygulama için kullanma hakkında daha fazla Azure Information Protection için bkz. PowerShell kullanarak Azure Information Protection'den korumayı yönetme.