管理者ガイド: Azure Information Protection 統合ラベル付けクライアントのファイルとクライアント使用状況ログ

Note

Microsoft Purview Information Protection をお探しですか? (以前の Microsoft Information Protection (MIP))

Azure Information Protection 統合ラベル付けクライアントをインストールした後に、ファイルがどこに置かれており、クライアントがどのように使用されているのかを監視することが必要になる場合があります。

使用状況ログは、Azure Information Protection 統合ラベル付けクライアントのバージョン 2.12.62 以降でサポートされています。

使用状況ログを有効にする

統合ラベル付けクライアントとスキャナーの両方の使用状況ログのサポートを有効にするには、次のようにレジストリキーを設定します。

レジストリパス: HKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\EnableLoggingAuditEventsToEventLog
型: DWORD
値: 1

クライアントとスキャナーのログファイルは、お使いの統合ラベル付けクライアントマシンの次の場所にあります。

\ProgramFiles (x86)\Microsoft Azure Information Protection (64 ビットオペレーティングシステムのみ)
\Program Files\Microsoft Azure Information Protection (32 ビットオペレーティングシステムのみ)
%localappdata%\Microsoft\MSIP

Note

クライアント側の使用状況ログは、現在プレビュー段階です。 Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。

統合ラベル付けクライアントでは、ユーザーアクティビティをローカル Windows イベントログの [アプリケーションとサービスログ]>[Azure Information Protection] に記録します。

クライアントのログに記録されるイベントには、次の情報が含まれます。

Outlook の警告メッセージ、理由メッセージ、ブロックメッセージのイベントには、クライアントの詳細設定が必要です。詳細については、「送信される電子メールを警告、正当化、またはブロックするポップアップメッセージを Outlook に実装する」を参照してください。

スキャナーのアクティビティは、ローカル Windows イベントログの [アプリケーションとサービスログ]>[Azure Information Protection] に記録されます。

スキャナーのログに記録されるイベントには、次の情報が含まれます。

スキャナーマシンのコンピューター名
サインインしているスキャナーユーザーの SID (セキュリティ識別子)
アクション (次のいずれか 1 つの種類のメッセージ):
- 情報メッセージ (次のいずれか 1 つのメッセージ):
  - スキャン開始: 情報 ID 1001
  - スキャン完了: 情報 ID 1002
  - 変更イベント: 情報 ID 1003
  - 検出イベント: 情報 ID 1004
  - 削除されたファイル: 情報 ID 1005
  - 一致した DLP ルール: 情報 ID 1006
  - アクセス許可レポート: 情報 ID 1007
- 警告メッセージ:
  - 警告メッセージ: 情報 ID 2001
  - スキャン取消: 情報 ID 2002
- エラーメッセージ (次のいずれか 1 つのメッセージ):
  - 不明なエラー: 情報 ID 3001
  - 自動ラベル付け条件なし: 情報 ID 3002
  - データベースエラー: 情報 ID 3003
  - データベーススキーマエラー: 情報 ID 3004
  - ポリシーが見つからない: 情報 ID 3005
  - DLP ポリシーが見つからない: 情報 ID 3006
  - コンテンツスキャンジョブが見つからない: 情報 ID 3007
イベントデータ (アクションの種類によって追加情報がある場合)

詳細については、次を参照してください。