管理员指南:Azure 信息保护统一标记客户端文件和客户端使用情况日志记录
注意
你是否想要了解 Microsoft Purview 信息保护(以前称为 Microsoft 信息保护 (MIP))方面的信息?
Azure 信息保护加载项已停用,并替换为 Microsoft 365 应用和服务中内置的标签。 详细了解其他 Azure 信息保护组件的支持状态。
新的 Microsoft 信息保护 客户端(不含加载项)目前为预览版,并计划正式发布。
安装 Azure 信息保护统一标记客户端后,请了解文件所在位置并监控客户端的使用状况。
Azure 信息保护统一标签客户端版本 2.12.62 和更高版本支持使用情况日志记录。
启用使用情况日志记录
若要为统一标记客户端和扫描仪启用使用情况日志记录支持,请按如下所示设置注册表项:
- 注册表路径:HKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\EnableLoggingAuditEventsToEventLog
- 类型:DWORD
- 值:1
日志文件位置
客户端和扫描仪日志文件位于统一标记客户端计算机上的以下位置:
- \ProgramFiles (x86)\Microsoft Azure 信息保护(仅 64 位操作系统)
- \Program Files\Microsoft Azure 信息保护(仅 32 位操作系统)
- %localappdata%\Microsoft\MSIP
客户端使用情况日志记录
注意
客户端使用情况日志记录目前处于预览阶段。 Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。
统一标记客户端将用户活动记录到本地 Windows 事件日志“应用程序和服务日志”>“Azure 信息保护”中 。
客户端的记录事件包含以下信息:
客户端版本
登录用户的 IP 地址
文件名和位置
操作:
设置标签:信息 ID 101
删除标签:信息 ID 104
发现标签:信息 ID 106
应用自定义保护:信息 ID 201
删除自定义保护:信息 ID 202
Outlook 警告、验证和阻止消息的事件需要高级客户端设置。 有关详细信息,请参阅在 Outlook 中实现弹出消息,针对正在发送的电子邮件发出警告、进行验证或阻止。
扫描仪端使用情况日志记录
扫描仪活动记录在以下本地 Windows 事件日志中:应用程序和服务日志 > Azure 信息保护扫描仪
扫描仪的记录事件包含以下信息:
扫描仪计算机的计算机名称
已登录扫描仪用户的 SID(安全标识符)
操作,以下消息类型之一:
信息消息,下列消息之一:
扫描已开始:信息 ID 1001
扫描已完成:信息 ID 1002
更改事件:信息 ID 1003
发现事件:信息 ID 1004
删除的文件:信息 ID 1005
匹配的 DLP 规则:信息 ID 1006
权限报告:信息 ID 1007
警告消息:
警告消息:信息 ID 2001
扫描已取消:信息 ID 2002
错误消息,下列消息之一:
未知错误:信息 ID 3001
无自动标记条件:信息 ID 3002
数据库错误:信息 ID 3003
数据库架构错误:信息 ID 3004
找不到策略:信息 ID 3005
找不到 DLP 策略:信息 ID 3006
找不到内容扫描作业:信息 ID 3007
事件数据,根据操作类型获取更多信息
后续步骤
有关详细信息,请参阅:
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈