数据丢失防护活动日志记录
警告
本文中记录的架构已弃用,从 2024 年 7 月开始将不可用。 您可以使用 Activity category:Data policy events 中提供的 新架构。
备注
数据丢失防护策略活动记录目前在主权云中不可用。
可以从 Microsoft 365 安全与合规中心跟踪数据丢失防护 (DLP) 策略活动。
要记录 DLP 活动,请执行以下步骤:
以租户管理员身份登录安全与合规中心。
选择搜索>审核日志搜索。
在搜索>活动下,输入 dlp。 活动列表将出现。
选择一个活动,在搜索窗口外选择将其关闭,然后选择搜索。
在审核日志搜索屏幕上,您可以跨很多热门服务搜索审核日志,包括 eDiscovery、Exchange、Power BI、Microsoft Entra ID、Microsoft Teams、客户互动应用(Dynamics 365 Sales、Dynamics 365 Customer Service、Dynamics 365 Field Service、Dynamics 365 Marketing 和 Dynamics 365 Project Service Automation)和 Microsoft Power Platform。
在您访问审核日志搜索后,您可以通过展开活动然后滚动查找专用于 Microsoft Power Platform 活动的部分来筛选特定活动。
审核哪些 DLP 事件
以下是您可以审核的用户操作:
- 已创建 DLP 策略:创建新 DLP 策略时
- 已更新 DLP 策略:更新现有 DLP 策略时
- 已删除 DLP 策略:删除 DLP 策略时
DLP 审核事件的基础架构
架构定义哪些字段发送到 Microsoft 365 安全与合规中心。 某些字段是所有应用程序将审核数据发送到 Microsoft 365 公用的,而其他则特定于 DLP 策略。 在下表中,名称和其他信息是 DLP 策略特定的列。
| 字段名称 | Type | 必需 | 描述 |
|---|---|---|---|
| 日期 | Edm.Date | 否 | 日志生成的 UTC 日期和时间 |
| 应用名称 | Edm.String | 否 | PowerApp 的唯一标识符 |
| Id | Edm.Guid | 否 | 记录的每行的唯一 GUID |
| 结果状态 | Edm.String | 否 | 记录的行的状态。 大多数情况下成功。 |
| 组织编号 | Edm.Guid | 是 | 从中生成日志的组织的唯一标识符。 |
| CreationTime | Edm.Date | 否 | 日志生成的 UTC 日期和时间 |
| 操作 | Edm.Date | 否 | 操作的名称 |
| UserKey | Edm.String | 否 | Microsoft Entra ID 中用户的唯一标识符 |
| UserType | Self.UserType | 否 | 审核类型(管理员、定期、系统) |
| 其他信息 | Edm.String | 否 | 更多信息(如果有)(例如环境名称) |
其他信息
其他信息字段是一个 JSON 对象,其中包含特定于操作的属性。 对于 DLP 策略操作,它包含以下属性。
| 字段名称 | Type | 必需? | 描述 |
|---|---|---|---|
| PolicyId | Edm.Guid | 是 | 策略的 GUID。 |
| PolicyType | Edm.String | 是 | 策略类型。 允许的值有 AllEnmentonments、SingleEnmentonment、OnlyEnmentonments 或 ExceptEnmentonments。 |
| DefaultConnectorClassification | Edm.String | 是 | 默认连接器分类。 允许的值有“常规”、“已阻止”或“机密”。 |
| EnvironmentName | Edm.String | 否 | 环境的名称 (GUID)。 此值只为 SingleEnvironment 策略显示。 |
| ChangeSet | Edm.String | 否 | 对策略所作的更改。 这些值只为更新操作显示。 |
以下是创建或删除事件的其他信息 JSON 的示例。
{
"policyId": "1aaaaaa1-2bb2-3cc3-4dd4-5eeeeeeeeee5",
"policyType": "SingleEnvironment",
"defaultConnectorClassification": "General",
"environmentName": "8a11a4a6-d8a4-4c47-96d7-3c2a60efe2f5"
}
以下是执行以下操作的更新操作的其他信息 JSON 的示例:
- 将策略名称从 oldPolicyName 更改为 newPolicyName。
- 将默认分类从“常规”更改为“机密”。
- 将策略类型从 OnlyEnvironments 更改为 ExceptEnvironments。
- 将 Azure Blob 存储连接器从“常规”桶移到“机密”桶。
- 将必应地图连接器从“常规”桶移到“已阻止”桶。
- 将 Azure 自动化连接器从“机密”桶移到“已阻止”桶。
{
"policyId": "1aaaaaa1-2bb2-3cc3-4dd4-5eeeeeeeeee5",
"policyType": "ExceptEnvironments",
"defaultConnectorClassification": "Confidential",
"changeSet": {
"changedProperties": [
{
"name": "ApiPolicyName",
"previousValue": "oldPolicyName",
"currentValue": "newPolicyName"
},
{
"name": "DefaultConnectorClassification",
"previousValue": "General",
"currentValue": "Confidential"
},
{
"name": "DlpPolicyType",
"previousValue": "OnlyEnvironments",
"currentValue": "ExceptEnvironments"
}
],
"connectorChanges": [
{
"name": "Azure Blob Storage",
"id": "/providers/Microsoft.PowerApps/apis/shared_azureblob",
"previousValue": {
"classification": "General"
},
"currentValue": {
"classification": "Confidential"
}
},
{
"name": "Bing Maps",
"id": "/providers/Microsoft.PowerApps/apis/shared_bingmaps",
"previousValue": {
"classification": "General"
},
"currentValue": {
"classification": "Blocked"
}
},
{
"name": "Azure Automation",
"id": "/providers/Microsoft.PowerApps/apis/shared_azureautomation",
"previousValue": {
"classification": "Confidential"
},
"currentValue": {
"classification": "Blocked"
}
}
]
}
}