管理员指南:Azure 信息保护统一标记客户端文件和客户端使用情况日志记录

  • 项目

注意

你是否想要了解 Microsoft Purview 信息保护(以前称为 Microsoft 信息保护 (MIP))方面的信息?

Azure 信息保护加载项已停用,并替换为 Microsoft 365 应用和服务中内置的标签。 详细了解其他 Azure 信息保护组件的支持状态

新的 Microsoft 信息保护 客户端(不含加载项)目前为预览版,并计划正式发布

安装 Azure 信息保护统一标记客户端后,请了解文件所在位置并监控客户端的使用状况。

Azure 信息保护统一标签客户端版本 2.12.62 和更高版本支持使用情况日志记录。

启用使用情况日志记录

若要为统一标记客户端和扫描仪启用使用情况日志记录支持,请按如下所示设置注册表项:

  • 注册表路径:HKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\EnableLoggingAuditEventsToEventLog
  • 类型:DWORD
  • 值:1

日志文件位置

客户端和扫描仪日志文件位于统一标记客户端计算机上的以下位置:

  • \ProgramFiles (x86)\Microsoft Azure 信息保护(仅 64 位操作系统)
  • \Program Files\Microsoft Azure 信息保护(仅 32 位操作系统)
  • %localappdata%\Microsoft\MSIP

客户端使用情况日志记录

注意

客户端使用情况日志记录目前处于预览阶段。 Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

统一标记客户端将用户活动记录到本地 Windows 事件日志“应用程序和服务日志”>“Azure 信息保护”中 。

客户端的记录事件包含以下信息:

  • 客户端版本

  • 登录用户的 IP 地址

  • 文件名和位置

  • 操作

    • 设置标签:信息 ID 101

    • 删除标签:信息 ID 104

    • 发现标签:信息 ID 106

    • 应用自定义保护:信息 ID 201

    • 删除自定义保护:信息 ID 202

Outlook 警告、验证和阻止消息的事件需要高级客户端设置。 有关详细信息,请参阅在 Outlook 中实现弹出消息,针对正在发送的电子邮件发出警告、进行验证或阻止

扫描仪端使用情况日志记录

扫描仪活动记录在以下本地 Windows 事件日志中:应用程序和服务日志 > Azure 信息保护扫描仪

扫描仪的记录事件包含以下信息:

  • 扫描仪计算机的计算机名称

  • 已登录扫描仪用户的 SID(安全标识符)

  • 操作,以下消息类型之一:

    • 信息消息,下列消息之一:

      • 扫描已开始:信息 ID 1001

      • 扫描已完成:信息 ID 1002

      • 更改事件:信息 ID 1003

      • 发现事件:信息 ID 1004

      • 删除的文件:信息 ID 1005

      • 匹配的 DLP 规则:信息 ID 1006

      • 权限报告:信息 ID 1007

    • 警告消息:

      • 警告消息:信息 ID 2001

      • 扫描已取消:信息 ID 2002

    • 错误消息,下列消息之一:

      • 未知错误:信息 ID 3001

      • 无自动标记条件:信息 ID 3002

      • 数据库错误:信息 ID 3003

      • 数据库架构错误:信息 ID 3004

      • 找不到策略:信息 ID 3005

      • 找不到 DLP 策略:信息 ID 3006

      • 找不到内容扫描作业:信息 ID 3007

  • 事件数据,根据操作类型获取更多信息

后续步骤

有关详细信息,请参阅: