Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Usare queste informazioni per comprendere come usare la registrazione dell'utilizzo per il servizio di crittografia Azure Rights Management da Microsoft Purview Information Protection. Questo servizio di crittografia offre protezione dei dati aggiuntiva per gli elementi dell'organizzazione, ad esempio documenti e messaggi di posta elettronica, e può registrare ogni richiesta. Queste richieste includono:
- Quando gli utenti crittografano gli elementi per proteggerli e decrittografano per leggerli o rimuovere la crittografia.
- Azioni eseguite dagli amministratori per gestire il servizio Azure Rights Management e azioni eseguite dagli operatori Microsoft per supportare il servizio.
È quindi possibile usare questi log di utilizzo per supportare gli scenari aziendali seguenti:
Analizzare per ottenere informazioni dettagliate sull'azienda
I log generati da Azure Rights Management possono essere importati in un repository di propria scelta (ad esempio un database, un sistema OLAP (Online Analytical Processing) o un sistema di riduzione delle mappe) per analizzare le informazioni e produrre report. Ad esempio, è possibile identificare chi accede ai dati crittografati. È possibile determinare a quali dati crittografati accedono gli utenti e da quali dispositivi e da dove. È possibile scoprire se gli utenti possono leggere correttamente il contenuto crittografato. È anche possibile identificare gli utenti che hanno letto un documento importante crittografato.
Controllare gli abusi
La registrazione delle informazioni sul modo in cui viene usato il servizio Azure Rights Management è disponibile quasi in tempo reale, in modo da poter monitorare continuamente l'uso del servizio da parte dell'azienda. Il 99,9% dei log è disponibile entro 15 minuti da un'azione avviata per il servizio.
Ad esempio, potrebbe essere necessario ricevere un avviso se si verifica un improvviso aumento delle persone che leggono dati crittografati al di fuori degli orari di lavoro standard, il che potrebbe indicare che un utente malintenzionato sta raccogliendo informazioni da vendere ai concorrenti. In alternativa, se lo stesso utente accede apparentemente ai dati da due indirizzi IP diversi entro un breve intervallo di tempo, il che potrebbe indicare che un account utente è stato compromesso.
Eseguire analisi forensi
Se si ha una perdita di informazioni, è probabile che venga chiesto chi ha eseguito di recente l'accesso a documenti specifici e quali informazioni hanno avuto accesso di recente a una persona sospetta. È possibile rispondere a questi tipi di domande quando si usa la registrazione dell'utilizzo di Azure Rights Management perché gli utenti che usano contenuto crittografato devono sempre ottenere una licenza d'uso di Rights Management per aprire gli elementi crittografati da Azure Rights Management, anche se questi elementi vengono spostati tramite posta elettronica o copiati in unità USB o in altri dispositivi di archiviazione. Ciò significa che è possibile usare questi log come origine definitiva di informazioni per l'analisi forense quando si proteggono i dati usando il servizio Azure Rights Management.
Opzioni di registrazione aggiuntive per il servizio Azure Rights Management:
| Opzione di registrazione | Descrizione |
|---|---|
| Amministrazione log | Registra le attività amministrative per il servizio Azure Rights Management. Ad esempio, se il servizio viene disattivato, quando la funzionalità utente con privilegi avanzati è abilitata e quando agli utenti vengono delegate le autorizzazioni di amministratore per il servizio. Per altre informazioni, vedere il cmdlet di PowerShell Get-AipServiceAdminLog. |
| Rilevamento documenti | Consente agli utenti di tenere traccia e revocare i documenti crittografati con il client Microsoft Purview Information Protection. Gli amministratori globali possono anche tenere traccia di questi documenti per conto degli utenti. Per altre informazioni, vedere Tenere traccia e revocare l'accesso ai documenti. |
Usare le sezioni seguenti per altre informazioni sulla registrazione dell'utilizzo per il servizio Azure Rights Management.
Come accedere ai log di utilizzo di Azure Rights Management e usarli
La registrazione dell'utilizzo di Azure Rights Management è abilitata per impostazione predefinita per tutti i clienti. Non sono previsti costi aggiuntivi per l'archiviazione dei log o per la funzionalità di registrazione.
Il servizio Azure Rights Management scrive i log come una serie di BLOB in un account di archiviazione di Azure creato automaticamente per il tenant. Ogni BLOB contiene uno o più record di log, in formato di log esteso W3C. I nomi dei BLOB sono numeri, nell'ordine in cui sono stati creati. La sezione Come interpretare i log di utilizzo di Azure Rights Management più avanti in questo documento contiene altre informazioni sul contenuto del log e sulla relativa creazione.
La visualizzazione dei log nell'account di archiviazione dopo un'azione di Azure Rights Management può richiedere del tempo. La maggior parte dei log viene visualizzata entro 15 minuti. I log di utilizzo sono disponibili solo quando il nome del campo "date" contiene un valore di una data precedente (in ora UTC). I log di utilizzo della data corrente non sono disponibili. È consigliabile scaricare i log nell'archiviazione locale, ad esempio una cartella locale, un database o un repository map-reduce.
Per scaricare i log di utilizzo, usare il modulo PowerShell AIPService per Microsoft Purview Information Protection. Per istruzioni sull'installazione, vedere Installare il modulo PowerShell AIPService per il servizio Azure Right Management.
Per scaricare i log di utilizzo tramite PowerShell
Avviare Windows PowerShell con l'opzione Esegui come amministratore e usare il cmdlet Connect-AipService per connettersi al servizio Azure Rights Management:
Connect-AipServiceEseguire il comando seguente per scaricare i log per una data specifica:
Get-AipServiceUserLog -Path <location> -fordate <date>Ad esempio, dopo aver creato una cartella denominata Log nell'unità E:
Per scaricare i log per una data specifica, ad esempio il 1/2/2025, eseguire il comando seguente:
Get-AipServiceUserLog -Path E:\Logs -fordate 2/1/2025Per scaricare i log per un intervallo di date ,ad esempio dal 2/1/2025 al 14/2/2025, eseguire il comando seguente:
Get-AipServiceUserLog -Path E:\Logs -fromdate 2/1/2025 –todate 2/14/2025
Quando si specifica solo il giorno, come negli esempi, si presuppone che l'ora sia 00:00:00 nell'ora locale e quindi convertita in UTC. Quando si specifica un'ora con i parametri -fromdate o -todate (ad esempio, -fordate "2/1/2025 15:00:00"), tale data e ora vengono convertite in UTC. Il comando Get-AipServiceUserLog ottiene quindi i log per tale periodo di tempo UTC.
Non è possibile specificare meno di un giorno intero da scaricare.
Per impostazione predefinita, questo cmdlet usa tre thread per scaricare i log. Se si dispone di una larghezza di banda di rete sufficiente e si vuole ridurre il tempo necessario per scaricare i log, usare il parametro -NumberOfThreads, che supporta un valore compreso tra 1 e 32. Ad esempio, se si esegue il comando seguente, il cmdlet genera 10 thread per scaricare i log: Get-AipServiceUserLog -Path E:\Logs -fromdate 2/1/2025 –todate 2/14/2025 -numberofthreads 10
Consiglio
È possibile aggregare tutti i file di log scaricati in un formato CSV usando il Parser di log di Microsoft, uno strumento per la conversione tra diversi formati di log noti. È anche possibile usare questo strumento per convertire i dati in formato SYSLOG o importarli in un database. Dopo aver installato lo strumento, eseguire LogParser.exe /? per ottenere informazioni e informazioni sull'uso di questo strumento.
Ad esempio, è possibile eseguire il comando seguente per importare tutte le informazioni in un formato di file .log: logparser –i:w3c –o:csv "SELECT * INTO AllLogs.csv FROM *.log"
Come interpretare i log di utilizzo
Usare le informazioni seguenti per interpretare i log di utilizzo di Azure Rights Management.
Sequenza di log
Il servizio Azure Rights Management scrive i log come una serie di BLOB.
Ogni voce nel log ha un timestamp UTC. Poiché il servizio viene eseguito su più server in più data center, a volte i log potrebbero sembrare fuori sequenza, anche quando vengono ordinati in base al timestamp. Tuttavia, la differenza è piccola e di solito entro un minuto. Nella maggior parte dei casi, questo non è un problema che sarebbe un problema per l'analisi del log.
Formato BLOB
Ogni BLOB è in formato di log esteso W3C. Inizia con le due righe seguenti:
#Software: RMS
#Version: 1.1
La prima riga indica che si tratta di log di utilizzo di Azure Rights Management. La seconda riga indica che il resto del BLOB segue la specifica della versione 1.1. È consigliabile che tutte le applicazioni che analizzano questi log verifichino queste due righe prima di continuare ad analizzare il resto del BLOB.
La terza riga enumera un elenco di nomi di campo separati da schede:
#Fields: data e ora row-id request-type user-id result correlation-id content-id owner-email issuer template-id file-name date-published c-info c-ip admin-action acting-as-user
Ognuna delle righe successive è un record di log. I valori dei campi sono nello stesso ordine della riga precedente e sono separati da schede. Utilizzare la tabella seguente per interpretare i campi.
| Nome del campo | Tipo di dati W3C | Descrizione | Valore di esempio |
|---|---|---|---|
| dattero | Data | Data UTC in cui è stata servita la richiesta. L'origine è l'orologio locale nel server che ha gestito la richiesta. |
2013-06-25 |
| Ore | Ora | Ora UTC in formato 24 ore quando è stata inviata la richiesta. L'origine è l'orologio locale nel server che ha gestito la richiesta. |
21:59:28 |
| row-id | Testo | GUID univoco per questo record di log. Se non è presente un valore, usare il valore correlation-id per identificare la voce. Questo valore è utile quando si aggregano i log o si copiano i log in un altro formato. |
1c3fe7a9-d9e0-4654-97b7-14fafa72ea63 |
| request-type | Nome | Nome dell'API RMS richiesta. | AcquireLicense |
| user-id | Stringa | Utente che ha effettuato la richiesta. Il valore è racchiuso tra virgolette singole. Le chiamate da una chiave del tenant di Azure Rights Management gestita dall'utente (BYOK) hanno il valore ", che si applica anche quando i tipi di richiesta sono anonimi. |
‘joe@contoso.com’ |
| risultato | Stringa | 'Operazione riuscita' se la richiesta è stata inviata correttamente. Tipo di errore tra virgolette singole se la richiesta non è riuscita. |
'Operazione riuscita' |
| correlation-id | Testo | GUID comune tra il log client e il log del server corrispondenti per una determinata richiesta. Questo valore può essere utile per risolvere i problemi del client. |
cab52088-8925-4371-be34-4b71a3112356 |
| content-id | Testo | GUID, racchiuso tra parentesi graffe che identificano il contenuto crittografato, ad esempio un documento. Questo campo ha un valore solo se request-type è AcquireLicense ed è vuoto per tutti gli altri tipi di richiesta. |
{bb4af47b-cfed-4719-831d-71b98191a4f2} |
| owner-email | Stringa | Email indirizzo del proprietario del documento. Questo campo è vuoto se il tipo di richiesta è RevokeAccess. |
alice@contoso.com |
| Emittente | Stringa | Email indirizzo dell'emittente del documento. Questo campo è vuoto se il tipo di richiesta è RevokeAccess. |
alice@contoso.com (o) FederatedEmail.4c1f4d-93bf-00a95fa1e042@contoso.onmicrosoft.com' |
| template-id | Stringa | ID del modello rights management usato per crittografare il documento. Questo campo è vuoto se il tipo di richiesta è RevokeAccess. |
{6d9371a6-4e2d-4e97-9a38-202233fed26e} |
| file-name | Stringa | Nome file di un documento crittografato rilevato tramite il client Microsoft Purview Information Protection. Attualmente, alcuni file ,ad esempio i documenti di Office, vengono visualizzati come GUID anziché come nome di file effettivo. Questo campo è vuoto se il tipo di richiesta è RevokeAccess. |
TopSecretDocument.docx |
| data di pubblicazione | Data | Data in cui il documento è stato crittografato. Questo campo è vuoto se il tipo di richiesta è RevokeAccess. |
10-10-2015-15T21:37:00 |
| c-info | Stringa | Informazioni sulla piattaforma client che effettua la richiesta. La stringa specifica varia a seconda dell'applicazione , ad esempio il sistema operativo o il browser. |
'MSIPC; version=1.0.623.47; AppName=WINWORD.EXE; AppVersion=15.0.4753.1000; AppArch=x86; OSName=Windows; OSVersion=6.1.7601; OSArch=amd64' |
| c-ip | Indirizzo | Indirizzo IP del client che effettua la richiesta. | 64.51.202.144 |
| admin-action | Valore booleano | Indica se un amministratore ha eseguito l'accesso al sito di rilevamento documenti in modalità amministratore. | Vero |
| acting-as-user | Stringa | Indirizzo di posta elettronica dell'utente per cui un amministratore accede al sito di rilevamento dei documenti. | 'joe@contoso.com' |
Eccezioni per il campo user-id
Anche se il campo user-id indica in genere l'utente che ha effettuato la richiesta, esistono due eccezioni in cui il valore non esegue il mapping a un utente reale:
Valore 'microsoftrmsonline@<YourTenantID.rms>.<region.aadrm.com>'.
Ciò indica che la richiesta viene eseguita da un servizio Microsoft 365, ad esempio Exchange o SharePoint. Nella stringa YourTenantID<> è il GUID per il tenant e <l'area> è l'area in cui è registrato il tenant. Ad esempio, na rappresenta America del Nord, eu rappresenta l'Europa e ap rappresenta l'Asia.
Se si usa il connettore Rights Management.
Le richieste da questo connettore vengono registrate con il nome dell'entità servizio Aadrm_S-1-7-0, generato automaticamente quando si installa il connettore Rights Management.
Tipi di richiesta tipici
Esistono molti tipi di richiesta per il servizio Azure Rights Management, ma la tabella seguente identifica alcuni dei tipi di richiesta più usati in genere.
| Tipo di richiesta | Descrizione |
|---|---|
| AcquireLicense | Un client da un computer basato su Windows richiede una licenza d'uso per il contenuto crittografato. |
| AcquirePreLicense | Un client, per conto dell'utente, richiede una licenza d'uso per il contenuto crittografato. |
| AcquireTemplates | È stata effettuata una chiamata per acquisire modelli di rights management basati su ID modello |
| AcquireTemplateInformation | È stata effettuata una chiamata per ottenere gli ID del modello rights management dal servizio. |
| AddTemplate | Viene effettuata una chiamata da un portale di amministrazione per aggiungere un modello di rights management. |
| AllDocsCsv | Viene effettuata una chiamata dal sito di rilevamento dei documenti per scaricare il file CSV dalla pagina Tutti i documenti . |
| BECreateEndUserLicenseV1 | Viene effettuata una chiamata da un dispositivo mobile per creare una licenza dell'utente finale. |
| BEGetAllTemplatesV1 | Viene effettuata una chiamata da un dispositivo mobile (back-end) per ottenere tutti i modelli di rights management. |
| Certificare | Il client certifica l'utente per l'utilizzo e la creazione di contenuto crittografato. |
| FECreateEndUserLicenseV1 | Simile alla richiesta AcquireLicense ma dai dispositivi mobili. |
| FECreatePublishingLicenseV1 | Uguale a Certify e GetClientLicensorCert combinati, dai client mobili. |
| FEGetAllTemplates | Viene effettuata una chiamata da un dispositivo mobile (front-end) per ottenere i modelli di rights management. |
| FindServiceLocationsForUser | Viene eseguita una chiamata per eseguire una query per gli URL, che viene usata per chiamare Certify o AcquireLicense. |
| GetClientLicensorCert | Il client richiede un certificato di pubblicazione (usato in seguito per crittografare il contenuto) da un computer basato su Windows. |
| GetConfiguration | Viene chiamato un cmdlet di PowerShell per ottenere la configurazione del tenant per il servizio Azure Rights Management. |
| GetConnectorAuthorizations | Viene effettuata una chiamata dai connettori rights management per ottenere la configurazione dal cloud. |
| GetRecipients | Viene effettuata una chiamata dal sito di rilevamento dei documenti per passare alla visualizzazione elenco per un singolo documento. |
| GetTenantFunctionalState | Un portale di amministrazione controlla se il servizio Azure Rights Management è attivato. |
| KeyVaultDecryptRequest | Il client sta tentando di decrittografare il contenuto crittografato di Rights Management. Applicabile solo per una chiave del tenant gestita dal cliente in Azure Key Vault. |
| KeyVaultGetKeyInfoRequest | Viene effettuata una chiamata per verificare che la chiave specificata da usare in Azure Key Vault per la chiave del tenant di Azure Rights Management sia accessibile e non già usata. |
| KeyVaultSignDigest | Una chiamata viene eseguita quando viene usata una chiave gestita dal cliente in Azure Key Vault a scopo di firma. Viene chiamato in genere una volta per AcquireLicence (o FECreateEndUserLicenseV1), Certify e GetClientLicensorCert (o FECreatePublishingLicenseV1). |
| KMSPDecrypt | Il client sta tentando di decrittografare il contenuto crittografato di Rights Management. Applicabile solo per una chiave tenant gestita dal cliente legacy (BYOK). |
| KMSPSignDigest | Una chiamata viene eseguita quando viene usata una chiave gestita dal cliente legacy (BYOK) a scopo di firma. Viene chiamato in genere una volta per AcquireLicence (o FECreateEndUserLicenseV1), Certify e GetClientLicensorCert (o FECreatePublishingLicenseV1). |
| ServerCertify | Viene effettuata una chiamata da un client abilitato per Rights Management (ad esempio SharePoint) per certificare il server. |
| SetUsageLogFeatureState | Viene effettuata una chiamata per abilitare la registrazione dell'utilizzo. |
| SetUsageLogStorageAccount | Viene effettuata una chiamata per specificare la posizione dei log del servizio Azure Rights Management. |
| UpdateTemplate | Viene effettuata una chiamata da un portale di amministrazione per aggiornare un modello di rights management esistente. |
Log di utilizzo di Azure Rights Management e controllo di Microsoft Purview
L'accesso ai file e gli eventi negati non includono il nome del file e non sono accessibili nel log di controllo unificato di Microsoft Purview.
Riferimenti a PowerShell
Dopo la connessione al servizio Azure Rights Management, l'unico cmdlet di PowerShell necessario per accedere alla registrazione dell'utilizzo di Azure Rights Management è Get-AipServiceUserLog.
Per altre informazioni sull'uso di PowerShell per il servizio Azure Rights Management, vedere Amministrazione del servizio Azure Rights Management tramite PowerShell.