AipHeartBeat
Azure 信息保护 是一项服务,允许组织对敏感数据进行分类和标记,并应用策略来控制数据的访问和共享方式。
AipHeartBeat 是一种记录在统一审核日志Office 365的事件类型。 AipHeartBeat 事件自动生成,可用于跟踪 AIP 服务的运行状况和状态。
访问Office 365统一审核日志
可以使用以下方法访问审核日志:
- Microsoft Purview 合规性门户中的审核日志搜索工具。
- Exchange Online PowerShell 中的 Search-UnifiedAuditLog cmdlet。
- Office 365 管理活动 API。
审核日志搜索工具
- 转到Microsoft Purview 合规门户并登录。
- 在合规性门户的左窗格中,选择“ 审核”。
注意
如果在左窗格中看不到“审核”,请参阅 Microsoft Defender for Office 365 中的角色和角色组和 Microsoft Purview 合规性,了解有关权限的信息。
- 在“ 新建搜索 ”选项卡上,将“记录类型”设置为 “AipDiscover ”并配置其他参数。
- 单击“ 搜索 ”以使用条件运行搜索。 在结果窗格中,选择事件以查看结果。 可查看发现和访问操作。
有关在Microsoft Purview 合规门户中查看审核日志的详细信息,请参阅审核日志活动。
在 PowerShell 中搜索统一审核日志
若要使用 PowerShell 访问统一审核日志,请首先通过完成以下步骤连接到 Exchange Online PowerShell 会话。
建立远程 PowerShell 会话
这将与 Exchange Online 建立远程 PowerShell 会话。 建立连接后,可以运行Exchange Online cmdlet 来管理Exchange Online环境。
打开 PowerShell 窗口并运行 Install-Module -Name ExchangeOnlineManagement 命令以安装 Exchange Online 管理模块。 此模块提供可用于管理Exchange Online的 cmdlet。
- Connect-IPPSSession 是一个 PowerShell cmdlet,用于创建与Exchange Online PowerShell 会话的远程连接。
- Import-Module ExchangeOnlineManagement 是一个 PowerShell cmdlet,用于将Exchange Online管理模块导入当前 PowerShell 会话。
# Import the PSSSession and Exchange Online cmdlets
Connect-IPPSSession
Import-Module ExchangeOnlineManagement
与特定用户连接
用于提示特定用户输入Exchange Online凭据的命令。
$UserCredential = Get-Credential
使用提供的凭据连接到Exchange Online的命令。
Connect-ExchangeOnline -Credential $UserCredential -ShowProgress $true
使用当前会话中的凭据进行连接
使用当前会话中的凭据连接到Exchange Online
Connect-ExchangeOnline
Search-UnifiedAuditLog cmdlet
Search-UnifiedAuditLog cmdlet 是一个 PowerShell 命令,可用于搜索统一审核日志Office 365。 统一审核日志是Office 365中的用户和管理员活动记录,可用于跟踪事件。 有关使用此 cmdlet 的最佳做法,请参阅 使用 Search-UnifiedAuditLog 的最佳做法。
若要使用 PowerShell 从统一审核日志中提取 AipHeartBeat 事件,可以使用以下命令。 这将在统一审核日志中搜索指定日期范围,并返回记录类型为“AipHeartBeat”的任何事件。 结果将导出到指定路径处的 CSV 文件。
Search-UnifiedAuditLog -RecordType AipHeartBeat -StartDate (Get-Date).AddDays(-7) -EndDate (Get-Date) | Export-Csv -Path <output file>
PowerShell 中的 AipHeartBeat 事件
下面是 PowerShell 中的 AipHeartBeat 事件示例。
RecordType : AipHeartBeat
CreationDate : 12/22/2022 8:50:10 PM
UserIds : ipadmin@champion365.onmicrosoft.com
Operations : HeartBeat
AuditData :
{
"Common":{
"ApplicationId":"c00e9d32-3c8d-4a7d-832b-029040e7db99",
"ApplicationName":"Microsoft Azure Information Protection Explorer Extension",
"ProcessName":"MSIP.App",
"Platform":1,
"DeviceName":"marketing-demo1",
"ProductVersion":"2.14.90.0"
},
"UserId":"ipadmin@champion365.onmicrosoft.com",
"ClientIP":"20.163.159.46",
"Id":"2e7b94ee-92f7-480f-8b14-89d4bc0c0e43",
"RecordType":97,
"CreationTime":"2022-12-22T20:50:10",
"Operation":"HeartBeat",
"OrganizationId":"c8085975-d882-42d2-9193-d82d752a5de9",
"UserType":0,
"UserKey":"981d11ea-df5c-4334-b656-bb9011bc435b",
"Workload":"Aip",
"Version":1,
"Scope":1
}
ResultIndex : 9
ResultCount : 11
Identity : 2e7b94ee-92f7-480f-8b14-89d4bc0c0e43
IsValid : True
ObjectState : Unchanged
注意
这只是如何使用 Search-UnifiedAuditLog cmdlet 的示例。 可能需要调整命令并根据特定要求指定其他参数。 有关使用 PowerShell 获取统一审核日志的详细信息,请参阅 搜索统一审核日志。
Office 365 管理活动 API
为了能够查询Office 365管理 API 终结点,需要使用正确的权限配置应用程序。 有关分步指南,请参阅 Office 365 管理 API 入门。
REST API 中的 AipHeartBeat 事件
下面是 REST API 中的 AipHeartBeat 事件示例。
TenantId : bd285ff7-1a38-4306-adaf-a367669731c3
SourceSystem : RestAPI
TimeGenerated [UTC] : 2022-12-21T17:18:20Z
EventCreationTime [UTC] : 2022-12-21T17:18:20Z
Id : a5ee064a-9508-4332-9853-db4bc8813f4c
Operation : HeartBeat
OrganizationId : ac1dff03-7e0e-4ac8-a4c9-9b38d24f062c
RecordType : 97
UserType : 0
Version : 1
Workload : Aip
UserId : mipscanner@kazdemos.org
UserKey : 2231a98d-8749-4808-b461-1acaa5b628ac
Scope : 1
ClientIP : 52.159.112.221
Common_ApplicationId : c00e9d32-3c8d-4a7d-832b-029040e7db99
Common_ApplicationName : Microsoft Azure Information Protection Explorer Extension
Common_ProcessName : MSIP.App
Common_Platform : 1
Common_DeviceName : AIPSCANNER1.mscompliance.click
Common_ProductVersion : 2.14.90.0
Type : AuditGeneral
AipHeartBeat 事件的属性
| 事件 | 类型 | 说明 |
|---|---|---|
| ApplicationId | GUID | 执行操作的应用程序的 ID。 |
| ApplicationName | String | 执行操作的应用程序的友好名称。 (Outlook、OWA、Word、Excel、PowerPoint 等 ) |
| ClientIP | IPv4/IPv6 | 记录活动时使用的设备的 IP 地址。 对于某些服务,此属性中显示的值可能是代表用户调用服务的受信任应用程序(例如,Web 应用上的 Office)的 IP 地址,而不是执行活动的人员使用的设备的 IP 地址。 |
| CreationTime | 日期/时间 | 用户执行活动时的协调世界时 (UTC) 日期和时间。 |
| DeviceName | String | 发生活动的设备。 |
| Id | GUID | 审核记录的唯一标识符。 |
| 操作 | String | 审核日志的操作类型。 对于 AipHeartBeat,操作为检测信号。 |
| OrganizationId | GUID | 组织 Office 365 租户的 GUID。 对于组织而言,该值始终相同,而不管它是在哪个 Office 365 服务中出现。 |
| 平台 | 双精度 | 活动发生自的平台。
0 = 未知 1 = Windows 2 = MacOS 3 = iOS 4 = Android 5 = Web 浏览器 |
| ProcessName | String | 相关进程名称 (Outlook、MSIP.App、WinWord 等 ) |
| productVersion | 字符串 | AIP 客户端的版本。 |
| RecordType | 双精度 | 记录指示的操作类型。 97 表示 AipHeartBeat 记录。 |
| 范围 | 双精度 | 0 表示事件是由托管的 O365 服务创建的。 1 表示事件是由本地服务器创建的。 |
| UserID | String | 用户主体名称 (UPN) 执行了导致记录被记录的操作的用户。 |
| UserKey | GUID | UserID 属性中标识的用户的备选 ID。 此属性填充 SharePoint、OneDrive for Business 和 Exchange 中用户执行的事件的 passport 唯一 ID (PUID)。 |
| UserType | 双精度 | 执行操作的用户类型。
0 = 常规 1 = 保留 2 = 管理员 3 = DcAdmin 4 = 系统 5 = 应用程序 6 = ServicePrincipal 7 = CustomPolicy 8 = SystemPolicy |
| 版本 | 双精度 | 操作中文件的版本 ID。 |
| Workload | String | (Exchange、SharePoint、OneDrive 等) 存储发生活动的Office 365服务。 |