共用方式為


記錄和分析 Azure 資訊保護 的保護使用量

注意

您要尋找 Microsoft Purview 資訊保護,前身為 Microsoft 資訊保護 (MIP)嗎?

Azure 資訊保護 載入宏已淘汰,並以 Microsoft 365 應用程式和服務內建的標籤取代。 深入瞭解其他 Azure 資訊保護元件的支持狀態。

Microsoft Purview 資訊保護 用戶端(不含載入宏)已正式推出

使用此資訊以利了解如何針對 Azure 資訊保護的保護服務 (Azure Rights Management) 使用使用情況記錄。 此保護服務可為組織的文件和電子郵件提供資料保護,且可以記錄對於此服務的每個要求。 這些要求包括當使用者保護檔和電子郵件,以及取用此內容、系統管理員針對這項服務執行的動作,以及 Microsoft 操作員為支援 Azure 資訊保護 部署所執行的動作。

然後,您可以使用這些保護使用記錄來支援下列商務案例:

  • 分析商業見解

    保護服務所產生的記錄可以匯入您選擇的存放庫(例如資料庫、在線分析處理 (OLAP) 系統或地圖縮減系統),以分析資訊併產生報告。 例如,您可以識別誰正在存取受保護的數據。 您可以判斷哪些受保護的數據人員正在存取,以及從哪些裝置和位置存取。 您可以了解人員是否可以成功讀取受保護的內容。 您也可以識別哪些人員已讀取受保護的重要檔。

  • 監視濫用

    保護用途的記錄資訊幾乎即時可供您使用,讓您能夠持續監視公司對保護服務的使用。 在服務起始動作的 15 分鐘內,有 99.9% 的記錄可供使用。

    例如,如果在標準工作時間外突然增加讀取受保護數據的人員,您可能會想要收到警示,這可能表示惡意使用者正在收集要銷售給競爭對手的資訊。 或者,如果相同用戶顯然在短時間內從兩個不同的IP位址存取數據,這可能表示用戶帳戶遭到入侵。

  • 執行鑑識分析

    如果您有資訊外泄,系統可能會詢問最近存取特定文件的人員,以及最近可疑人員存取哪些資訊。 當您使用此記錄時,您可以回答這些類型的問題,因為使用受保護內容的人員一律必須取得 Rights Management 授權,才能開啟受 Azure 資訊保護 保護的文件和圖片,即使這些檔案是透過電子郵件移動或複製到 USB 磁碟驅動器或其他儲存裝置也一樣。 這表示當您使用 Azure 資訊保護 來保護數據時,可以使用這些記錄作為鑑識分析的最終資訊來源。

除了此使用記錄之外,您也有下列記錄選項:

記錄選項 描述
管理員 記錄 記錄保護服務的系統管理工作。 例如,如果停用服務、啟用進階使用者功能,以及將使用者委派給服務的系統管理員許可權時。

如需詳細資訊,請參閱 PowerShell Cmdlet Get-AipService 管理員 Log
檔案追蹤 可讓使用者追蹤和撤銷他們已使用 Azure 資訊保護 客戶端追蹤的檔。 全域系統管理員也可以代表使用者追蹤這些檔。

如需詳細資訊,請參閱設定和使用 Azure 資訊保護 的文件追蹤。
用戶端事件記錄檔 Azure 資訊保護 用戶端的使用活動,已登入本機 Windows 應用程式和服務事件記錄檔 Azure 資訊保護

如需詳細資訊,請參閱 Azure 資訊保護 用戶端的使用方式記錄。
用戶端記錄檔 針對位於 %localappdata%\Microsoft\MSIP 之 Azure 資訊保護 客戶端的記錄進行疑難解答。

這些檔案是針對 Microsoft 支援服務 所設計。

此外,會收集來自 Azure 資訊保護 用戶端使用量記錄和 Azure 資訊保護 掃描器的資訊,並在 Azure 入口網站 中建立報告。 如需詳細資訊,請參閱 Azure 資訊保護 的報告。

如需保護服務使用記錄的詳細資訊,請使用下列各節。

如何啟用保護使用方式的記錄

預設會為所有客戶啟用保護使用量記錄。

記錄記憶體或記錄功能不需要額外費用。

如何存取和使用您的保護使用量記錄

Azure 資訊保護 會將記錄寫入為一系列 Blob,並將其自動為您的租使用者建立的 Azure 記憶體帳戶。 每個 Blob 都包含一或多個記錄檔記錄,格式為 W3C 擴充記錄檔格式。 Blob 名稱是數位,其建立順序。 本檔稍後的如何解譯您的 Azure Rights Management 使用量記錄一節包含記錄內容及其建立的詳細資訊。

記錄可能需要一段時間才會出現在保護動作之後的記憶體帳戶中。 大部分的記錄會顯示在15分鐘內。 只有在「日期」功能變數名稱包含前一個日期的值時,才能使用使用量記錄(以 UTC 時間為單位)。 目前日期的使用量記錄無法使用。 我們建議您將記錄下載到本機記憶體,例如本機資料夾、資料庫或 map-reduce 存放庫。

若要下載使用量記錄,您將使用適用於 Azure 資訊保護 的 AIPService PowerShell 模組。 如需安裝指示,請參閱 安裝 AIPService PowerShell 模組

使用 PowerShell 下載使用量記錄

  1. 使用 [以系統管理員身分執行] 選項啟動 Windows PowerShell,並使用 連線-AipService Cmdlet 連線到 Azure 資訊保護:

    Connect-AipService
    
  2. 執行下列命令以下載特定日期的記錄:

    Get-AipServiceUserLog -Path <location> -fordate <date>
    

    例如,在 E: 磁碟驅動器上建立名為 Logs 的資料夾之後:

    • 若要下載特定日期的記錄檔(例如 2016 年 2 月 1 日),請執行下列命令: Get-AipServiceUserLog -Path E:\Logs -fordate 2/1/2016

    • 若要下載日期範圍的記錄(例如從 2016 年 2 月 1 日到 2016 年 2 月 14 日),請執行下列命令: Get-AipServiceUserLog -Path E:\Logs -fromdate 2/1/2016 –todate 2/14/2016

當您指定日期時,如我們的範例所示,時間會假設為當地時間的 00:00:00,然後轉換成 UTC。 當您使用 -fromdate 或 -todate 參數指定時間時(例如 -fordate “2/1/2016 15:00:00”),該日期和時間會轉換成 UTC。 Get-AipServiceUserLog 命令接著會取得該 UTC 時間週期的記錄。

您無法指定一整天的時間才能下載。

根據預設,此 Cmdlet 會使用三個線程來下載記錄。 如果您有足夠的網路頻寬,而且想要減少下載記錄所需的時間,請使用 -NumberOfThreads 參數,其支援從 1 到 32 的值。 例如,如果您執行下列命令,Cmdlet 會繁衍 10 個線程來下載記錄: Get-AipServiceUserLog -Path E:\Logs -fromdate 2/1/2016 –todate 2/14/2016 -numberofthreads 10

提示

您可以使用 Microsoft 的 Log Parser,將所有下載的記錄檔匯總成 CSV 格式,這是在各種已知記錄格式之間轉換的工具。 您也可以使用此工具將資料轉換成 SYSLOG 格式,或將資料匯入資料庫。 安裝此工具之後,請執行 LogParser.exe /? 以取得使用此工具的說明和資訊。

例如,您可以執行下列命令,將所有資訊匯入.log檔案格式: logparser –i:w3c –o:csv "SELECT * INTO AllLogs.csv FROM *.log"

如何解譯使用量記錄

使用下列信息來協助您解譯保護使用記錄。

記錄序列

Azure 資訊保護 會將記錄寫入為一系列 Blob。

記錄中的每個專案都有UTC時間戳。 因為保護服務會在多個數據中心的多部伺服器上執行,所以有時候記錄似乎順序不一致,即使記錄是以時間戳排序也一樣。 不過,差異很小,通常在一分鐘內。 在大部分情況下,這不是記錄分析的問題。

Blob 格式

每個 Blob 都是 W3C 擴充記錄格式。 其開頭為下列兩行:

#Software:RMS

#Version:1.1

第一行會識別這些是來自 Azure 資訊保護 的保護記錄。 第二行會識別 Blob 的其餘部分遵循 1.1 版規格。 建議您先剖析這些記錄的任何應用程式,先驗證這兩行,然後再繼續剖析其餘的 Blob。

第三行會列舉以索引標籤分隔的網域名稱清單:

#Fields:日期時間數據列標識符要求類型 user-id result correlation-id content-id owner-email issuer template-id file-name date-published c-info c-ip admin-action acting-as-user

後續每一行都是記錄檔記錄。 欄位的值順序與前一行相同,並以索引標籤隔。 使用下表來解譯欄位。

欄位名稱 W3C 數據類型 描述 範例值
date Date 提供要求的 UTC 日期。

來源是服務要求之伺服器上的本機時鐘。
2013-06-25
time Time 以 24 小時格式提供要求的 UTC 時間。

來源是服務要求之伺服器上的本機時鐘。
21:59:28
row-id Text 此記錄檔記錄的唯一 GUID。 如果值不存在,請使用相互關聯標識碼值來識別專案。

當您匯總記錄或將記錄複製到另一種格式時,這個值很有用。
1c3fe7a9-d9e0-4654-97b7-14fafa72ea63
request-type 名稱 要求的 RMS API 名稱。 AcquireLicense
user-id String 提出要求的使用者。

值會以單引弧括住。 來自您管理之租使用者密鑰的呼叫(BYOK)的值 為 “,這也適用於要求類型為匿名時。
'joe@contoso.com'
result String 如果要求成功,則為 'Success'。

如果要求失敗,則為單引號中的錯誤類型。
'Success'
correlation-id Text 指定要求之 RMS 用戶端記錄檔與伺服器記錄檔之間通用的 GUID。

此值有助於針對客戶端問題進行疑難解答。
cab52088-8925-4371-be34-4b71a3112356
content-id Text GUID,以大括弧括住,可識別受保護的內容(例如檔)。

只有當 request-type 為 AcquireLicense 且所有其他要求類型為空白時,這個字段才會有值。
{bb4af47b-cfed-4719-831d-71b98191a4f2}
owner-email String 檔擁有者的電子郵件位址。

如果要求類型為 RevokeAccess,則此欄位為空白。
alice@contoso.com
發行 String 檔簽發者的電子郵件位址。

如果要求類型為 RevokeAccess,則此欄位為空白。
alice@contoso.com (或) FederatedEmail.4c1f4d-93bf-00a95fa1e042@contoso.onmicrosoft.com'
template-id String 用來保護檔的範本識別碼。

如果要求類型為 RevokeAccess,則此欄位為空白。
{6d9371a6-4e2d-4e97-9a38-202233fed26e}
file-name String 使用適用於 Windows 的 Azure 資訊保護 客戶端來追蹤受保護檔的檔名。

目前,某些檔案(例如 Office 檔)會顯示為 GUID,而不是實際的檔名。

如果要求類型為 RevokeAccess,則此欄位為空白。
TopSecretDocument.docx
date-published Date 保護檔的日期。

如果要求類型為 RevokeAccess,則此欄位為空白。
2015-10-15T21:37:00
c-info String 提出要求的用戶端平台相關信息。

特定字串會根據應用程式而有所不同(例如作業系統或瀏覽器)。
'MSIPC;version=1.0.623.47;AppName=WINWORD.EXE;AppVersion=15.0.4753.1000;AppArch=x86;OSName=Windows;OSVersion=6.1.7601;OSArch=amd64'
c-ip 位址 發出要求的用戶端IP位址。 64.51.202.144
admin-action Bool 系統管理員是否以 管理員 istrator 模式存取文件追蹤網站。 True
代理身分使用者 String 系統管理員存取檔案追蹤網站之用戶的電子郵件位址。 'joe@contoso.com'

用戶標識符欄位的例外狀況

雖然 user-id 字段通常表示提出要求的使用者,但有兩個例外狀況,其中值不會對應至實際使用者:

  • 'microsoftrmsonline@<YourTenantID.rms>。<region.aadrm.com>'

    這表示 Office 365 服務,例如 Exchange Online 或 Microsoft SharePoint,正在提出要求。 在字串中,YourTenantID> 是租使用者的 GUID,而<區域>是註冊租用戶的區域。< 例如,na 代表 北美洲、eu 代表歐洲,而ap代表亞洲。

  • 如果您使用 RMS 連接器。

    來自此連接器的要求會以服務主體名稱 記錄為 Aadrm_S-1-7-0,當您安裝 RMS 連接器時,系統會自動產生此名稱。

一般要求類型

保護服務有許多要求類型,但下表會識別一些最常使用的要求類型。

要求類型 描述
AcquireLicense 來自 Windows 計算機用戶端要求受保護內容的授權。
AcquirePreLicense 用戶端代表使用者要求受保護內容的授權。
AcquireTemplates 已呼叫 以根據範本標識碼取得範本
AcquireTemplateInformation 已呼叫 以從服務取得範本的標識碼。
AddTemplate 從 Azure 入口網站呼叫以新增範本。
AllDocsCsv 從文件追蹤網站進行呼叫,以從 [ 所有檔 ] 頁面下載 CSV 檔案。
BECreateEndUserLicenseV1 從行動裝置進行通話,以建立用戶授權。
BEGetAllTemplatesV1 從行動裝置(後端)進行呼叫,以取得所有範本。
證明 用戶端正在認證使用者,以取用和建立受保護的內容。
FECreateEndUserLicenseV1 類似於 AcquireLicense 要求,但來自行動裝置。
FECreatePublishingLicenseV1 與來自行動用戶端的 Certify 和 GetClientLicensorCert 合併相同。
FEGetAllTemplates 從行動裝置(前端)撥打電話以取得範本。
FindServiceLocationsForUser 呼叫來查詢 URL,用來呼叫 Certify 或 AcquireLicense。
GetClientLicensorCert 用戶端要求發佈憑證(稍後用來保護內容)從 Windows 計算機。
GetConfiguration 呼叫 Azure PowerShell Cmdlet 以取得 Azure RMS 租用戶的設定。
Get 連線 orAuthorizations 從 RMS 連接器進行呼叫,以從雲端取得其設定。
GetRecipients 從檔案追蹤網站進行呼叫,以流覽至單一檔的清單檢視。
GetTenantFunctionalState Azure 入口網站 正在檢查是否已啟動保護服務 (Azure Rights Management)。
KeyVaultDecryptRequest 用戶端嘗試解密受 RMS 保護的內容。 僅適用於 Azure 金鑰保存庫 中客戶管理的租使用者金鑰 (BYOK)。
KeyVaultGetKeyInfoRequest 呼叫以確認 Azure 資訊保護 租使用者金鑰的 Azure 金鑰保存庫 中指定的金鑰可供存取且尚未使用。
KeyVaultSignDigest 當 Azure 金鑰保存庫 中的客戶管理金鑰 (BYOK) 用於簽署用途時,就會呼叫 。 這通常為每個 AcquireLicence (或 FECreateEndUserLicenseV1)、Certify 和 GetClientLicensorCert (或 FECreatePublishingLicenseV1) 呼叫一次。
KMSPDecrypt 用戶端嘗試解密受 RMS 保護的內容。 僅適用於舊版客戶管理的租使用者密鑰(BYOK)。
KMSPSignDigest 當舊版客戶管理的密鑰 (BYOK) 用於簽署時,就會進行呼叫。 這通常為每個 AcquireLicence (或 FECreateEndUserLicenseV1)、Certify 和 GetClientLicensorCert (或 FECreatePublishingLicenseV1) 呼叫一次。
ServerCertify 從已啟用 RMS 的用戶端 (例如 SharePoint) 進行呼叫,以認證伺服器。
SetUsageLogFeatureState 呼叫 以啟用使用量記錄。
SetUsageLog 儲存體 Account 呼叫以指定 Azure Rights Management 服務記錄的位置。
UpdateTemplate 從 Azure 入口網站 進行呼叫,以更新現有的範本。

保護使用量記錄和 Microsoft 365 統一稽核記錄

檔案存取和拒絕的事件目前不包含檔名,且無法在 Microsoft 365 統一稽核記錄中存取。 這些事件將會增強為獨立實用,並在稍後從 Rights Management Service 新增。

PowerShell 參考

您唯一需要存取保護使用量記錄的 PowerShell Cmdlet 是 Get-AipServiceUserLog

如需使用PowerShell for Azure 資訊保護 的詳細資訊,請參閱 管理員 使用PowerShell從 Azure 資訊保護 註冊保護。