Membuat log dan menganalisis penggunaan perlindungan dari Perlindungan Informasi Azure
Catatan
Apakah Anda mencari Perlindungan Informasi Microsoft Purview, sebelumnya Microsoft Information Protection (MIP)?
Add-in Perlindungan Informasi Azure dihentikan dan diganti dengan label yang disertakan dalam aplikasi dan layanan Microsoft 365 Anda. Pelajari selengkapnya tentang status dukungan komponen Perlindungan Informasi Azure lainnya.
Klien Perlindungan Informasi Microsoft Purview (tanpa add-in) umumnya tersedia.
Gunakan informasi ini untuk membantu Anda memahami bagaimana Anda dapat menggunakan pengelogan penggunaan untuk layanan perlindungan (Azure Rights Management) dari Azure Information Protection. Layanan perlindungan ini menyediakan perlindungan data untuk dokumen dan email organisasi Anda dan dapat mencatat setiap permintaan ke dalamnya. Permintaan ini termasuk ketika pengguna melindungi dokumen dan email dan juga menggunakan konten ini, tindakan yang dilakukan oleh administrator Anda untuk layanan ini, dan tindakan yang dilakukan oleh operator Microsoft untuk mendukung penyebaran Perlindungan Informasi Azure Anda.
Anda kemudian dapat menggunakan log penggunaan perlindungan ini untuk mendukung skenario bisnis berikut:
Analisis untuk wawasan bisnis
Log yang dihasilkan oleh layanan perlindungan dapat diimpor ke repositori pilihan Anda (seperti database, sistem pemrosesan analitik online (OLAP), atau sistem pengurangan peta) untuk menganalisis informasi dan menghasilkan laporan. Sebagai contoh, Anda dapat mengidentifikasi siapa yang mengakses data yang dilindungi. Anda dapat menentukan apa yang diakses orang data yang dilindungi, dan dari perangkat apa dan dari mana. Anda dapat mengetahui apakah orang berhasil membaca konten yang dilindungi. Anda juga dapat mengidentifikasi orang mana yang telah membaca dokumen penting yang dilindungi.
Memantau penyalahgunaan
Informasi pengelogan tentang penggunaan perlindungan tersedia untuk Anda dalam waktu hampir real time, sehingga Anda dapat terus memantau penggunaan layanan perlindungan perusahaan Anda. 99,9% log tersedia dalam waktu 15 menit setelah tindakan yang dimulai untuk layanan.
Misalnya, Anda mungkin ingin diberi tahu jika ada peningkatan mendadak orang yang membaca data yang dilindungi di luar jam kerja standar, yang dapat menunjukkan bahwa pengguna jahat mengumpulkan informasi untuk dijual ke pesaing. Atau, jika pengguna yang sama tampaknya mengakses data dari dua alamat IP yang berbeda dalam jangka waktu singkat, yang dapat menunjukkan bahwa akun pengguna telah disusupi.
Melakukan analisis forensik
Jika Anda memiliki kebocoran informasi, Anda mungkin akan ditanya siapa yang baru-baru ini mengakses dokumen tertentu dan informasi apa yang dilakukan orang yang dicurigai mengakses baru-baru ini. Anda dapat menjawab jenis pertanyaan ini saat menggunakan pengelogan ini karena orang yang menggunakan konten yang dilindungi harus selalu mendapatkan lisensi Manajemen Hak untuk membuka dokumen dan gambar yang dilindungi oleh Perlindungan Informasi Azure, bahkan jika file-file ini dipindahkan melalui email atau disalin ke drive USB atau perangkat penyimpanan lainnya. Ini berarti Bahwa Anda dapat menggunakan log ini sebagai sumber informasi definitif untuk analisis forensik saat Anda melindungi data Anda dengan menggunakan Perlindungan Informasi Azure.
Selain pengelogan penggunaan ini, Anda juga memiliki opsi pengelogan berikut:
Opsi pengelogan | Deskripsi |
---|---|
Log admin | Mencatat tugas administratif untuk layanan perlindungan. Misalnya, jika layanan dinonaktifkan, saat fitur pengguna super diaktifkan, dan saat pengguna didelegasikan izin admin ke layanan. Untuk informasi selengkapnya, lihat cmdlet PowerShell, Get-AipServiceAdminLog. |
Pelacakan dokumen | Memungkinkan pengguna melacak dan mencabut dokumen mereka yang telah mereka lacak dengan klien Perlindungan Informasi Azure. Administrator global juga dapat melacak dokumen ini atas nama pengguna. Untuk informasi selengkapnya, lihat Mengonfigurasi dan menggunakan pelacakan dokumen untuk Perlindungan Informasi Azure. |
Log peristiwa klien | Aktivitas penggunaan untuk klien Perlindungan Informasi Azure, dicatat di log peristiwa Aplikasi dan Layanan Windows lokal, Perlindungan Informasi Azure. Untuk informasi selengkapnya, lihat Pengelogan penggunaan untuk klien Perlindungan Informasi Azure. |
File log klien | Log pemecahan masalah untuk klien Perlindungan Informasi Azure, terletak di %localappdata%\Microsoft\MSIP. File-file ini dirancang untuk Dukungan Microsoft. |
Selain itu, informasi dari log penggunaan klien Perlindungan Informasi Azure dan pemindai Perlindungan Informasi Azure dikumpulkan dan dikumpulkan untuk membuat laporan di portal Azure. Untuk informasi selengkapnya, lihat Pelaporan untuk Perlindungan Informasi Azure.
Gunakan bagian berikut untuk informasi selengkapnya tentang pengelogan penggunaan untuk layanan perlindungan.
Cara mengaktifkan pengelogan untuk penggunaan perlindungan
Pengelogan penggunaan perlindungan diaktifkan secara default untuk semua pelanggan.
Tidak ada biaya tambahan untuk penyimpanan log atau untuk fungsionalitas fitur pengelogan.
Cara mengakses dan menggunakan log penggunaan perlindungan Anda
Perlindungan Informasi Azure menulis log sebagai serangkaian blob ke akun penyimpanan Azure yang dibuat secara otomatis untuk penyewa Anda. Setiap blob berisi satu atau beberapa rekaman log, dalam format log yang diperluas W3C. Nama blob adalah angka, dalam urutan pembuatannya. Bagian Cara menginterpretasikan log penggunaan Azure Rights Management Anda nanti dalam dokumen ini berisi informasi selengkapnya tentang konten log dan pembuatannya.
Diperlukan waktu beberapa saat agar log muncul di akun penyimpanan Anda setelah tindakan perlindungan. Sebagian besar log muncul dalam waktu 15 menit. Log penggunaan hanya tersedia ketika nama bidang "tanggal" berisi nilai tanggal sebelumnya (dalam waktu UTC). Log penggunaan dari tanggal saat ini tidak tersedia. Kami menyarankan agar Anda mengunduh log ke penyimpanan lokal, seperti folder lokal, database, atau repositori pengurangan peta.
Untuk mengunduh log penggunaan, Anda akan menggunakan modul AIPService PowerShell untuk Perlindungan Informasi Azure. Untuk petunjuk penginstalan, lihat Menginstal modul AIPService PowerShell.
Untuk mengunduh log penggunaan Anda dengan menggunakan PowerShell
Mulai Windows PowerShell dengan opsi Jalankan sebagai administrator dan gunakan cmdlet Koneksi-AipService untuk menyambungkan ke Perlindungan Informasi Azure:
Connect-AipService
Jalankan perintah berikut untuk mengunduh log untuk tanggal tertentu:
Get-AipServiceUserLog -Path <location> -fordate <date>
Misalnya, setelah membuat folder yang disebut Log di drive E: Anda:
Untuk mengunduh log untuk tanggal tertentu (seperti 2/1/2016), jalankan perintah berikut:
Get-AipServiceUserLog -Path E:\Logs -fordate 2/1/2016
Untuk mengunduh log untuk rentang tanggal (seperti dari 2/1/2016 hingga 14/2/2016), jalankan perintah berikut:
Get-AipServiceUserLog -Path E:\Logs -fromdate 2/1/2016 –todate 2/14/2016
Ketika Anda menentukan hari saja, seperti dalam contoh kami, waktu diasumsikan menjadi 00:00:00 di waktu lokal Anda, lalu dikonversi ke UTC. Saat Anda menentukan waktu dengan parameter -fromdate atau -todate Anda (misalnya, -fordate "2/1/2016 15:00:00"), tanggal dan waktu tersebut dikonversi ke UTC. Perintah Get-AipServiceUserLog kemudian mendapatkan log untuk periode waktu UTC tersebut.
Anda tidak dapat menentukan kurang dari sehari penuh untuk diunduh.
Secara default, cmdlet ini menggunakan tiga utas untuk mengunduh log. Jika Anda memiliki bandwidth jaringan yang memadai dan ingin mengurangi waktu yang diperlukan untuk mengunduh log, gunakan parameter -NumberOfThreads, yang mendukung nilai dari 1 hingga 32. Misalnya, jika Anda menjalankan perintah berikut, cmdlet menelurkan 10 utas untuk mengunduh log: Get-AipServiceUserLog -Path E:\Logs -fromdate 2/1/2016 –todate 2/14/2016 -numberofthreads 10
Tip
Anda dapat menggabungkan semua file log yang diunduh ke dalam format CSV dengan menggunakan Log Parser Microsoft, yang merupakan alat untuk mengonversi antara berbagai format log terkenal. Anda juga dapat menggunakan alat ini untuk mengonversi data ke format SYSLOG, atau mengimpornya ke database. Setelah Anda menginstal alat, jalankan LogParser.exe /?
untuk bantuan dan informasi untuk menggunakan alat ini.
Misalnya, Anda mungkin menjalankan perintah berikut untuk mengimpor semua informasi ke dalam format file .log: logparser –i:w3c –o:csv "SELECT * INTO AllLogs.csv FROM *.log"
Cara menginterpretasikan log penggunaan Anda
Gunakan informasi berikut untuk membantu Anda menginterpretasikan log penggunaan perlindungan.
Urutan log
Perlindungan Informasi Azure menulis log sebagai serangkaian blob.
Setiap entri dalam log memiliki tanda waktu UTC. Karena layanan perlindungan berjalan di beberapa server di beberapa pusat data, terkadang log mungkin tampak tidak berurutan, bahkan ketika diurutkan berdasarkan tanda waktunya. Namun, perbedaannya kecil dan biasanya dalam satu menit. Dalam kebanyakan kasus, ini bukan masalah yang akan menjadi masalah untuk analisis log.
Format blob
Setiap blob dalam format log yang diperluas W3C. Ini dimulai dengan dua baris berikut:
#Software: RMS
#Version: 1.1
Baris pertama mengidentifikasi bahwa ini adalah log perlindungan dari Perlindungan Informasi Azure. Baris kedua mengidentifikasi bahwa sisa blob mengikuti spesifikasi versi 1.1. Kami menyarankan agar aplikasi apa pun yang mengurai log ini memverifikasi dua baris ini sebelum terus mengurai sisa blob.
Baris ketiga menghitung daftar nama bidang yang dipisahkan oleh tab:
#Fields: tanggal waktu baris-id permintaan jenis pengguna-id hasil korelasi-id konten-id pemilik-email pengeluar sertifikat template-id file-name date-published c-info c-ip admin-action acting-as-user
Masing-masing baris berikutnya adalah catatan log. Nilai bidang berada dalam urutan yang sama dengan baris sebelumnya, dan dipisahkan oleh tab. Gunakan tabel berikut untuk menginterpretasikan bidang.
Nama bidang | Jenis data W3C | Deskripsi | Contoh nilai |
---|---|---|---|
date | Date | Tanggal UTC ketika permintaan dilayani. Sumbernya adalah jam lokal di server yang melayani permintaan. |
2013-06-25 |
time | Waktu | Waktu UTC dalam format 24 jam saat permintaan dilayani. Sumbernya adalah jam lokal di server yang melayani permintaan. |
21:59:28 |
row-id | Teks | GUID unik untuk catatan log ini. Jika nilai tidak ada, gunakan nilai correlation-id untuk mengidentifikasi entri. Nilai ini berguna saat Anda mengagregasi log atau menyalin log ke format lain. |
1c3fe7a9-d9e0-4654-97b7-14fafa72ea63 |
jenis permintaan | Nama | Nama API RMS yang diminta. | AcquireLicense |
id pengguna | String | Pengguna yang membuat permintaan. Nilai diapit dalam tanda kutip tunggal. Panggilan dari kunci penyewa yang dikelola oleh Anda (BYOK) memiliki nilai ", yang juga berlaku ketika jenis permintaan anonim. |
'joe@contoso.com' |
result | String | 'Berhasil' jika permintaan berhasil dilayani. Jenis kesalahan dalam tanda kutip tunggal jika permintaan gagal. |
'Sukses' |
id korelasi | Teks | GUID yang umum antara log klien RMS dan log server untuk permintaan tertentu. Nilai ini dapat berguna untuk membantu memecahkan masalah klien. |
cab52088-8925-4371-be34-4b71a3112356 |
content-id | Teks | GUID, diapit kurung kurawal yang mengidentifikasi konten yang dilindungi (misalnya, dokumen). Bidang ini hanya memiliki nilai jika jenis permintaan adalah AcquireLicense dan kosong untuk semua jenis permintaan lainnya. |
{bb4af47b-cfed-4719-831d-71b98191a4f2} |
email pemilik | String | Alamat email pemilik dokumen. Bidang ini kosong jika jenis permintaan adalah RevokeAccess. |
alice@contoso.com |
penerbit | String | Alamat email penerbit dokumen. Bidang ini kosong jika jenis permintaan adalah RevokeAccess. |
alice@contoso.com (atau) FederatedEmail.4c1f4d-93bf-00a95fa1e042@contoso.onmicrosoft.com' |
template-id | String | ID templat yang digunakan untuk melindungi dokumen. Bidang ini kosong jika jenis permintaan adalah RevokeAccess. |
{6d9371a6-4e2d-4e97-9a38-202233fed26e} |
nama file | String | Nama file dokumen terproteksi yang dilacak dengan menggunakan klien Perlindungan Informasi Azure untuk Windows. Saat ini, beberapa file (seperti dokumen Office) ditampilkan sebagai GUID daripada nama file yang sebenarnya. Bidang ini kosong jika jenis permintaan adalah RevokeAccess. |
TopSecretDocument.docx |
tanggal diterbitkan | Tanggal | Tanggal saat dokumen diproteksi. Bidang ini kosong jika jenis permintaan adalah RevokeAccess. |
2015-10-15T21:37:00 |
c-info | String | Informasi tentang platform klien yang membuat permintaan. String tertentu bervariasi, tergantung pada aplikasi (misalnya, sistem operasi atau browser). |
'MSIPC; version=1.0.623.47; AppName=WINWORD.EXE; AppVersion=15.0.4753.1000; AppArch=x86; OSName=Windows; OSVersion=6.1.7601; OSArch=amd64' |
c-ip | Alamat | Alamat IP klien yang membuat permintaan. | 64.51.202.144 |
admin-action | Bool | Apakah administrator telah mengakses situs pelacakan dokumen dalam mode Administrator. | Benar |
bertindak sebagai pengguna | String | Alamat email pengguna yang administratornya mengakses situs pelacakan dokumen. | 'joe@contoso.com' |
Pengecualian untuk bidang id pengguna
Meskipun bidang user-id biasanya menunjukkan pengguna yang membuat permintaan, ada dua pengecualian di mana nilai tidak dipetakan ke pengguna nyata:
Nilai 'microsoftrmsonline@<YourTenantID.rms>.<region.aadrm.com>'.
Ini menunjukkan layanan Office 365, seperti Exchange Online atau Microsoft SharePoint, membuat permintaan. Dalam string, YourTenantID> adalah GUID untuk penyewa dan <wilayah> Anda adalah wilayah tempat penyewa Anda terdaftar.< Misalnya, na mewakili Amerika Utara, Uni Eropa mewakili Eropa, dan ap mewakili Asia.
Jika Anda menggunakan konektor RMS.
Permintaan dari konektor ini dicatat dengan nama perwakilan layanan Aadrm_S-1-7-0, yang secara otomatis dihasilkan saat Anda menginstal konektor RMS.
Jenis permintaan umum
Ada banyak jenis permintaan untuk layanan perlindungan tetapi tabel berikut mengidentifikasi beberapa jenis permintaan yang paling umum digunakan.
Jenis permintaan | Deskripsi |
---|---|
AcquireLicense | Klien dari komputer berbasis Windows meminta lisensi untuk konten yang dilindungi. |
AcquirePreLicense | Klien, atas nama pengguna, meminta lisensi untuk konten yang dilindungi. |
AcquireTemplates | Panggilan dilakukan untuk memperoleh templat berdasarkan ID templat |
AcquireTemplateInformation | Panggilan dilakukan untuk mendapatkan ID templat dari layanan. |
AddTemplate | Panggilan dilakukan dari portal Azure untuk menambahkan templat. |
AllDocsCsv | Panggilan dilakukan dari situs pelacakan dokumen untuk mengunduh file CSV dari halaman Semua Dokumen . |
BECreateEndUserLicenseV1 | Panggilan dilakukan dari perangkat seluler untuk membuat lisensi pengguna akhir. |
BEGetAllTemplatesV1 | Panggilan dilakukan dari perangkat seluler (back-end) untuk mendapatkan semua templat. |
Menyatakan | Klien mensertifikasi pengguna untuk konsumsi dan pembuatan konten yang dilindungi. |
FECreateEndUserLicenseV1 | Mirip dengan permintaan AcquireLicense tetapi dari perangkat seluler. |
FECreatePublishingLicenseV1 | Sama seperti Gabungan Certify dan GetClientLicensorCert, dari klien seluler. |
FEGetAllTemplates | Panggilan dilakukan, dari perangkat seluler (front-end) untuk mendapatkan templat. |
FindServiceLocationsForUser | Panggilan dilakukan untuk mengkueri URL, yang digunakan untuk memanggil Certify atau AcquireLicense. |
GetClientLicensorCert | Klien meminta sertifikat penerbitan (yang nantinya digunakan untuk melindungi konten) dari komputer berbasis Windows. |
GetConfiguration | Cmdlet Azure PowerShell dipanggil untuk mendapatkan konfigurasi penyewa Azure RMS. |
Dapatkan Koneksi orAuthorizations | Panggilan dilakukan dari konektor RMS untuk mendapatkan konfigurasinya dari cloud. |
GetRecipients | Panggilan dilakukan dari situs pelacakan dokumen untuk menavigasi ke tampilan daftar untuk satu dokumen. |
GetTenantFunctionalState | portal Azure sedang memeriksa apakah layanan perlindungan (Azure Rights Management) diaktifkan. |
KeyVaultDecryptRequest | Klien mencoba mendekripsi konten yang dilindungi RMS. Hanya berlaku untuk kunci penyewa yang dikelola pelanggan (BYOK) di Azure Key Vault. |
KeyVaultGetKeyInfoRequest | Panggilan dilakukan untuk memverifikasi bahwa kunci yang ditentukan untuk digunakan di Azure Key Vault untuk kunci penyewa Perlindungan Informasi Azure dapat diakses dan belum digunakan. |
KeyVaultSignDigest | Panggilan dilakukan saat kunci yang dikelola pelanggan (BYOK) di Azure Key Vault digunakan untuk tujuan penandatanganan. Ini disebut biasanya sekali per AcquireLicence (atau FECreateEndUserLicenseV1), Certify, dan GetClientLicensorCert (atau FECreatePublishingLicenseV1). |
KMSPDecrypt | Klien mencoba mendekripsi konten yang dilindungi RMS. Hanya berlaku untuk kunci penyewa warisan yang dikelola pelanggan (BYOK). |
KMSPSignDigest | Panggilan dilakukan ketika kunci warisan yang dikelola pelanggan (BYOK) digunakan untuk tujuan penandatanganan. Ini disebut biasanya sekali per AcquireLicence (atau FECreateEndUserLicenseV1), Certify, dan GetClientLicensorCert (atau FECreatePublishingLicenseV1). |
ServerCertify | Panggilan dilakukan dari klien berkemampuan RMS (seperti SharePoint) untuk mensertifikasi server. |
SetUsageLogFeatureState | Panggilan dilakukan untuk mengaktifkan pengelogan penggunaan. |
SetUsageLogStorageAccount | Panggilan dilakukan untuk menentukan lokasi log layanan Azure Rights Management. |
UpdateTemplate | Panggilan dilakukan dari portal Azure untuk memperbarui templat yang sudah ada. |
Log penggunaan perlindungan dan log audit terpadu Microsoft 365
Akses file dan peristiwa yang ditolak saat ini tidak menyertakan nama file dan tidak dapat diakses di log audit terpadu Microsoft 365. Peristiwa ini akan ditingkatkan agar berguna secara mandiri dan ditambahkan dari Layanan Manajemen Hak di kemudian hari.
Referensi PowerShell
Satu-satunya cmdlet PowerShell yang Anda butuhkan untuk mengakses pengelogan penggunaan perlindungan Anda adalah Get-AipServiceUserLog.
Untuk informasi selengkapnya tentang menggunakan PowerShell untuk Perlindungan Informasi Azure, lihat Mengelola perlindungan dari Perlindungan Informasi Azure dengan menggunakan PowerShell.