记录和分析 Azure 信息保护的保护使用情况

适用于:Azure信息保护、Office 365

相关:AIP 统一标签客户端和经典客户端

注意

为了提供统一且简化的客户体验,Azure 门户中的Azure信息保护经典客户端和标签管理在2021年 3 月 31 日已弃用。 不再提供对经典客户端的进一步支持,并且将不再发布维护版本。

经典客户端将于 2022 年 3 月 31 日正式停用并停止运行。

所有当前的 Azure 信息保护经典客户端客户必须迁移到统一Microsoft 信息保护平台,并升级到统一标签客户端。 在迁移博客 中了解更多信息

使用此信息可帮助你了解如何通过 Azure 信息保护通过 Azure (管理) 服务使用使用情况日志记录。 此保护服务为组织的文档和电子邮件提供数据保护,并且它可以记录对它的每个请求。 这些请求包括当用户保护文档和电子邮件以及使用此内容时、管理员为此服务执行的操作,以及 Microsoft 操作员为支持 Azure 信息保护部署而执行的操作。

然后,可以使用这些保护使用情况日志来支持以下业务方案:

  • 分析业务见解

    保护服务生成的日志可以导入到你选择的存储库 (例如数据库、联机分析处理 (OLAP) (OLAP) 系统或 map-reduce 系统) 来分析信息和生成报告。 例如,可以识别谁在访问受保护的数据。 你可以确定用户正在访问哪些受保护的数据,以及从哪些设备和从何处访问。 您可以了解用户是否可以成功读取受保护的内容。 还可以确定哪些用户阅读了受保护的重要文档。

  • 监视滥用情况

    几乎实时地提供有关保护使用的日志记录信息,以便持续监视公司对保护服务的使用。 99.9% 的日志在服务启动操作后 15 分钟内可用。

    例如,如果读取标准工作时间以外的受保护数据的用户突然增多,可能会表明恶意用户正在收集信息以向竞争对手销售数据,则可能会发出警报。 或者,如果同一用户显然在短时间内从两个不同的 IP 地址访问数据,这可能表示用户帐户已泄露。

  • 执行取证分析

    如果信息泄漏,可能会询问谁最近访问过特定文档,以及可疑人员最近访问过哪些信息。 使用此日志记录时,可以回答这些类型的问题,因为使用受保护内容的人必须始终获得权限管理许可证才能打开受 Azure 信息保护保护的文档和图片,即使这些文件通过电子邮件移动或复制到 U 盘或其他存储设备。 这意味着,使用 Azure 信息保护保护数据时,可以将这些日志用作取证分析的最终信息源。

除了此使用情况日志记录之外,还有以下日志记录选项:

日志记录选项 说明
管理员日志 记录保护服务的管理任务。 例如,如果服务被停用、超级用户功能启用以及用户被委派为服务的管理员权限时。

有关详细信息,请参阅 PowerShell cmdlet Get-AipServiceAdminLog。
文档跟踪 允许用户使用 Azure 信息保护客户端跟踪和撤消其已跟踪的文档。 全局管理员可以代表用户跟踪这些文档。

有关详细信息,请参阅 配置和使用 Azure 信息保护的文档跟踪
客户端事件日志 Azure 信息保护客户端的使用活动,记录在本地 Windows和服务事件日志中,即Azure 信息保护

有关详细信息,请参阅 Azure 信息保护客户端的使用情况日志记录
客户端日志文件 Azure 信息保护客户端的故障排除日志,位于 %localappdata%\Microsoft\MSIP中。

这些文件专为 Microsoft 支持人员设计。

此外,会收集并聚合 Azure 信息保护客户端使用情况日志和 Azure 信息保护扫描程序的信息,以在 Azure 门户中创建报表。 有关详细信息,请参阅 Azure 信息保护报告

有关保护服务使用情况日志记录的信息,请使用以下部分。

如何启用日志记录以使用保护

默认情况下,所有客户都启用保护使用情况日志记录。

日志存储或日志记录功能无需额外付费。

如何访问和使用保护使用情况日志

Azure 信息保护将日志作为一系列 Blob 写入 Azure 存储帐户,该帐户会自动为租户创建该帐户。 每个 Blob 包含一个或多个采用 W3C 扩展日志格式的日志记录。 Blob 名称是数字,按创建顺序排序。 本文档稍后的如何解释 Azure Rights Management 使用情况日志部分包含有关日志内容及其创建内容的信息。

执行保护操作后,日志可能需要一段时间才能显示在存储帐户中。 大多数日志在 15 分钟内显示。 建议将日志下载到本地存储,例如本地文件夹、数据库或 map-reduce 存储库。

若要下载使用情况日志,请使用 Azure 信息保护的 AIPService PowerShell 模块。 有关安装说明, 请参阅安装 AIPService PowerShell 模块

使用 PowerShell 下载使用情况日志

  1. 首先Windows PowerShell"以管理员方式运行"选项,并使用连接-AipService cmdlet 连接到 Azure 信息保护:

    Connect-AipService
    
  2. 运行以下命令,下载特定日期的日志:

    Get-AipServiceUserLog -Path <location> -fordate <date>
    

    例如,在 E: 驱动器上创建名为 Logs 的文件夹后:

    • 若要下载特定日期的日志, (2/1/2016) ,请运行以下命令: Get-AipServiceUserLog -Path E:\Logs -fordate 2/1/2016

    • 若要下载日期范围 (例如从 2016/2/1 到 2016/2/14) 日志,请运行以下命令: Get-AipServiceUserLog -Path E:\Logs -fromdate 2/1/2016 –todate 2/14/2016

仅指定一天时(如示例中所示)时,假定时间在本地时间为 00:00:00,然后转换为 UTC。 使用 -fromdate 或 -todate 参数指定时间时 (例如 -fordate "2/1/2016 15:00:00") ,该日期和时间将转换为 UTC。 然后Get-AipServiceUserLog命令获取该 UTC 时间段的日志。

不能指定少于一天的下载时间。

默认情况下,此 cmdlet 使用三个线程来下载日志。 如果有足够的网络带宽,并且希望减少下载日志所需的时间,请使用 -NumberOfThreads 参数,它支持从 1 到 32 的值。 例如,如果运行以下命令,cmdlet 将生成 10 个线程来下载日志: Get-AipServiceUserLog -Path E:\Logs -fromdate 2/1/2016 –todate 2/14/2016 -numberofthreads 10

提示

可以使用 Microsoft 的 Log Parser将下载的所有日志文件聚合为 CSV 格式,这是一种在各种已知日志格式之间转换的工具。 也可使用此工具将数据转换为 SYSLOG 格式,或将其导入数据库。 安装该工具后,运行 LogParser.exe /? 获取使用此工具的帮助和信息。

例如,可以运行以下命令,将所有信息导入到 .日志文件 格式: logparser –i:w3c –o:csv "SELECT * INTO AllLogs.csv FROM *.log"

如何解释使用情况日志

使用以下信息来帮助解释保护使用情况日志。

日志序列

Azure 信息保护将日志写入为一系列 Blob。

日志中的每个条目都有 UTC 时间戳。 由于保护服务在多个数据中心的多个服务器上运行,因此有时日志可能看起来不按顺序,即使日志按时间戳排序。 但是,差异很小,通常在一分钟内完成。 在大多数情况下,这不是日志分析的问题。

Blob 格式

每个 blob 采用 W3C 扩展日志格式。 它以以下两行开头:

#Software:RMS

#Version:1.1

第一行标识这些是来自 Azure 信息保护的保护日志。 第二行标识 Blob 的其余部分遵循版本 1.1 规范。 建议分析这些日志的任何应用程序先验证这两行,然后再继续分析 Blob 的其余部分。

第三行枚举由制表符分隔的字段名称列表:

#Fields:日期时间行 id request-type user-id result correlation-id content-id owner-email issuer template-id file-name date-published c-info c-ip admin-action action-as-user

后续的每一行都是一条日志记录。 字段的值与上一行的顺序相同,用制表符分隔。 使用下表解释字段。

字段名称 W3C 数据类型 说明 示例值
date 日期 处理请求的 UTC 日期。

源是服务器上为请求提供的本地时钟。
2013-06-25
time 时间 处理请求时采用 24 小时格式的 UTC 时间。

源是服务器上为请求提供的本地时钟。
21:59:28
row-id 文本 此日志记录的唯一 GUID。 如果不存在值,请使用 correlation-id 值来标识条目。

聚合日志或将日志复制为其他格式时,此值很有用。
1c3fe7a9-d9e0-4654-97b7-14fafa72ea63
request-type 名称 请求的 RMS API 的名称。 AcquireLicense
user-id 字符串 提出请求的用户。

该值用单引号括起来。 BYOK 托管的租户密钥 (BYOK) 值为 ",当请求类型是匿名时也适用。
‘joe@contoso.com’
result 字符串 如果请求已成功处理,为请求提供"成功"。

如果请求失败,则错误类型为单引号。
"Success"
correlation-id 文本 在给定请求的 RMS 客户端日志和服务器日志之间常见的 GUID。

此值有助于排查客户端问题。
cab52088-8925-4371-be34-4b71a3112356
content-id 文本 GUID,括在大括号中,用于标识受保护的 (,例如文档) 。

只有当 request-type 为 AcquireLicense 且对于所有其他请求类型为空时,此字段才具有值。
{bb4af47b-cfed-4719-831d-71b98191a4f2}
owner-email 字符串 文档所有者的电子邮件地址。

如果请求类型为 RevokeAccess,则此字段为空。
alice@contoso.com
issuer 字符串 文档颁发者的电子邮件地址。

如果请求类型为 RevokeAccess,则此字段为空。
alice@contoso.com (或) FederatedEmail.4c1f4d-93bf-00a95fa1e042@contoso.onmicrosoft.com '
template-id 字符串 用于保护文档的模板的 ID。

如果请求类型为 RevokeAccess,则此字段为空。
{6d9371a6-4e2d-4e97-9a38-202233fed26e}
file-name 字符串 使用 Azure 信息保护客户端进行跟踪的受保护文档的文件名Windows。

目前,某些文件 (,Office文档) GUID 而不是实际文件名。

如果请求类型为 RevokeAccess,则此字段为空。
TopSecretDocument.docx
date-published 日期 文档受保护日期。

如果请求类型为 RevokeAccess,则此字段为空。
2015-10-15T21:37:00
c-info 字符串 有关提出请求的客户端平台的信息。

特定字符串因应用程序 (,例如操作系统或浏览器) 。
'MSIPC;version=1.0.623.47;AppName=WINWORD.EXE;AppVersion=15.0.4753.1000;AppArch=x86;OSName=Windows;OSVersion=6.1.7601;OSArch=amd64'
c-ip 地址 提出请求的客户端的 IP 地址。 64.51.202.144
admin-action 布尔 管理员是否已在管理员模式下访问文档跟踪网站。 True
acting-as-user 字符串 管理员正在访问文档跟踪网站的用户的电子邮件地址。 'joe@contoso.com'

user-id 字段的异常

虽然 user-id 字段通常指示提出请求的用户,但存在两个例外,其中值不会映射到实际用户:

  • "microsoftrmsonline@ YourTenantID > .rms。 <region > .aadrm.com'

    这表示Office 365服务(例如 Exchange Online 或 Microsoft SharePoint)正在提出请求。 在字符串中 ,YourTenantID >是租户的 GUID,>是注册租户的区域。 例如 ,na 表示北美 ,eu 代表欧洲 ,ap 代表亚洲。

  • 如果使用 RMS 连接器。

    此连接器的请求使用服务主体名称 Aadrm_S-1-7-0记录,该名称是在安装 RMS 连接器时自动生成的。

典型请求类型

保护服务有许多请求类型,但下表标识了一些最常用的请求类型。

请求类型 说明
AcquireLicense 来自基于 Windows 计算机的客户端正在请求受保护内容的许可证。
AcquirePreLicense 客户端代表用户请求受保护内容的许可证。
AcquireTemplates 已调用 以基于模板 ID 获取模板
AcquireTemplateInformation 已调用 从服务获取模板的 ID。
AddTemplate 从 Azure 门户调用 以添加模板。
AllDocsCsv 从文档跟踪站点进行调用,从"所有文档"页面下载 CSV文件。
BECreateEndUserLicenseV1 从移动设备进行呼叫以创建最终用户许可证。
BEGetAllTemplatesV1 从移动设备和后端 (调用) 获取所有模板。
Certify 客户端正在验证用户是否使用和创建受保护的内容。
FECreateEndUserLicenseV1 类似于 AcquireLicense 请求,但来自移动设备。
FECreatePublishingLicenseV1 与来自移动客户端的 Certify 和 GetClientLicensorCert 组合相同。
FEGetAllTemplates 从移动设备和前端 (调用) 获取模板。
FindServiceLocationsForUser 调用 以查询 URL,用于调用 Certify 或 AcquireLicense。
GetClientLicensorCert 客户端正在请求发布证书 (,稍后用于保护基于) 计算机Windows内容。
GetConfiguration 调用 Azure PowerShell cmdlet 获取 Azure RMS 租户的配置。
GetConnectorAuthorizations 从 RMS 连接器进行调用,以从云获取其配置。
GetRecipients 从文档跟踪网站进行调用以导航到单个文档的列表视图。
GetTenantFunctionalState Azure 门户正在检查 Azure Rights Management (服务) 是否已激活。
KeyVaultDecryptRequest 客户端正在尝试解密受 RMS 保护的内容。 仅适用于 Azure Key Vault 中的 BYOK (托管) 密钥。
KeyVaultGetKeyInfoRequest 调用 以验证指定用于 Azure 信息保护租户密钥的 Azure Key Vault 中的密钥是否可访问且尚未使用。
KeyVaultSignDigest 当 Azure Key Vault 中的 BYOK (BYOK) 用于签名时,将进行调用。 这通常按 AcquireLicence (或 FECreateEndUserLicenseV1) 、Certify 和 GetClientLicensorCert (或 FECreatePublishingLicenseV1) 调用一次。
KMSPDecrypt 客户端正在尝试解密受 RMS 保护的内容。 仅适用于 BYOK 托管的旧版客户托管 (租户) 。
KMSPSignDigest 当 BYOK 密钥的旧版客户托管密钥 (BYOK) 进行签名时,将进行调用。 这通常按 AcquireLicence (或 FECreateEndUserLicenseV1) 、Certify 和 GetClientLicensorCert (或 FECreatePublishingLicenseV1) 调用一次。
ServerCertify 从启用了 RMS 的客户端客户端 (,例如SharePoint) 验证服务器。
SetUsageLogFeatureState 调用 以启用使用情况日志记录。
SetUsageLogStorageAccount 调用 以指定 Azure Rights Management 服务日志的位置。
UpdateTemplate 从 Azure 门户调用 以更新现有模板。

仅经典客户端

以下请求类型仅与具有 AIP 经典客户端的用户相关:

请求类型 说明
DeleteTemplateById 从 Azure 门户进行调用,以按模板 ID 删除模板。
DocumentEventsCsv 从文档跟踪站点进行调用,以下载.CSV文档的文件。
ExportTemplateById 从 Azure 门户进行调用,以基于模板 ID 导出模板。
FEGetAllTemplates 从移动设备和前端 (调用) 获取模板。
GetAllDocs 从文档跟踪网站进行调用,加载用户的所有文档页面,或搜索租户的所有文档。 将此值与 admin-action 和 action-as-admin 字段一同使用:

- admin-action 为空:用户查看 其自己的 文档的所有文档页面。

- admin-action 为 true,操作用户为空:管理员查看其租户的所有文档。

- admin-action 为 true 且操作用户不为空:管理员查看 用户 的所有文档页面。
GetAllTemplates 从 Azure 门户进行调用,获取所有模板。
GetConnectorAuthorizations 从 RMS 连接器进行调用,以从云获取其配置。
GetSingle 从文档跟踪网站进行调用以导航到单个 文档 页面。
GetTemplateById 从 Azure 门户调用 ,通过指定模板 ID 获取模板。
LoadEventsForMap 从文档跟踪网站进行调用以导航到单个文档的地图视图。
LoadEventsForSummary 从文档跟踪网站进行调用以导航到单个文档的时间线视图。
LoadEventsForTimeline 从文档跟踪网站进行调用以导航到单个文档的地图视图。
ImportTemplate 从 Azure 门户调用 以导入模板。
RevokeAccess 从文档跟踪网站调用 以撤销文档。
SearchUsers 从文档跟踪站点进行调用以搜索租户中的所有用户。
UpdateNotificationSettings 从文档跟踪网站进行调用以更改单个文档的通知设置。
UpdateTemplate 从 Azure 门户调用 以更新现有模板。

PowerShell 参考

访问保护使用情况日志记录所需的唯一 PowerShell cmdlet 是Get-AipServiceUserLog。

有关使用 PowerShell 进行 Azure 信息保护的信息,请参阅 使用 PowerShell管理 Azure 信息保护的保护。