Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Используйте эти сведения, чтобы понять, как использовать ведение журнала использования для службы шифрования, Azure Rights Management из Защита информации Microsoft Purview. Эта служба шифрования обеспечивает дополнительную защиту данных для таких элементов организации, как документы и сообщения электронной почты, и может записывать в журнал каждый запрос. К таким запросам относятся:
- Когда пользователи шифруют элементы для их защиты и расшифровывают их для чтения или удаления шифрования.
- Действия, выполняемые администраторами для управления службой Azure Rights Management, и действия, выполняемые операторами Майкрософт для поддержки этой службы.
Затем эти журналы использования можно использовать для поддержки следующих бизнес-сценариев:
Анализ бизнес-аналитики
Журналы, созданные Azure Rights Management, можно импортировать в любой репозиторий (например, базу данных, систему оперативной аналитической обработки (OLAP) или систему map-reduce, чтобы анализировать информацию и создавать отчеты. Например, можно определить, кто обращается к зашифрованным данным. Вы можете определить, к каким зашифрованным данным обращаются пользователи, с каких устройств и откуда. Вы можете узнать, могут ли пользователи успешно читать зашифрованное содержимое. Вы также можете определить, какие пользователи прочитали важный документ, который был зашифрован.
для того, чтобы следить за нарушениями;
Сведения о том, как используется служба Azure Rights Management, доступны практически в режиме реального времени, чтобы вы могли постоянно отслеживать использование службы в компании. 99,9 % журналов доступны в течение 15 минут после инициированного действия в службе.
Например, вы можете получать оповещение, если происходит внезапное увеличение числа людей, читающих зашифрованные данные вне стандартного рабочего времени, что может указывать на то, что злоумышленник собирает информацию для продажи конкурентам. Или, если один и тот же пользователь, по-видимому, обращается к данным с двух разных IP-адресов в течение короткого промежутка времени, что может означать, что учетная запись пользователя была скомпрометирована.
для проведения судебного анализа.
Если у вас произошла утечка информации, вас, скорее всего, спросят, кто недавно получил доступ к определенным документам и к какой информации в последнее время обращается подозреваемый человек. Вы можете ответить на эти вопросы при использовании ведения журнала использования Azure Rights Management, так как пользователи, использующие зашифрованное содержимое, должны всегда получать лицензию на использование Rights Management для открытия элементов, зашифрованных с помощью Службы управления правами Azure, даже если эти элементы перемещаются по электронной почте или копируются на USB-накопители или другие запоминающие устройства. Это означает, что эти журналы можно использовать в качестве окончательного источника информации для судебно-медицинского анализа при защите данных с помощью службы Azure Rights Management.
Дополнительные параметры ведения журнала для службы Azure Rights Management:
| Параметр ведения журнала | Описание |
|---|---|
| журнал Администратор | Регистрирует административные задачи для службы Azure Rights Management. Например, если служба отключена, когда включена функция суперпользователей и когда пользователям делегированы разрешения администратора службе. Дополнительные сведения см. в командлете PowerShell Get-AipServiceAdminLog. |
| Отслеживание документов | Позволяет пользователям отслеживать и отзывать свои документы, зашифрованные с помощью клиента Защита информации Microsoft Purview. Глобальные администраторы также могут отслеживать эти документы от имени пользователей. Дополнительные сведения см. в разделе Отслеживание и отмена доступа к документам. |
Дополнительные сведения о ведении журнала использования службы Azure Rights Management см. в следующих разделах.
Как получить доступ к журналам использования Azure Rights Management и использовать их
Ведение журнала использования Azure Rights Management включено по умолчанию для всех клиентов. За хранение журналов или функции ведения журнала дополнительные расходы не взимается.
Служба Azure Rights Management записывает журналы в виде ряда BLOB-объектов в учетную запись хранения Azure, которую она автоматически создает для вашего клиента. Каждый большой двоичный объект содержит одну или несколько записей журнала в расширенном формате журнала W3C. Имена BLOB-объектов — это числа в том порядке, в котором они были созданы. Дополнительные сведения о содержимом журналах и их создании см. далее в этом документе.
Журналы могут отображаться в учетной записи хранения после действия Azure Rights Management. Большинство журналов отображаются в течение 15 минут. Журналы использования доступны только в том случае, если имя поля date содержит значение предыдущей даты (в формате UTC). Журналы использования с текущей даты недоступны. Рекомендуется скачать журналы в локальное хранилище, например в локальную папку, базу данных или репозиторий map-reduce.
Чтобы скачать журналы использования, используйте модуль AIPService PowerShell для Защита информации Microsoft Purview. Инструкции по установке см. в статье Установка модуля AIPService PowerShell для службы управления правами Azure.
Скачивание журналов использования с помощью PowerShell
Запустите Windows PowerShell с параметром Запуск от имени администратора и используйте командлет Connect-AipService для подключения к службе Azure Rights Management:
Connect-AipServiceВыполните следующую команду, чтобы скачать журналы для определенной даты:
Get-AipServiceUserLog -Path <location> -fordate <date>Например, после создания папки с именем Logs на диске E:
Чтобы скачать журналы для определенной даты (например, 01.02.2025), выполните следующую команду:
Get-AipServiceUserLog -Path E:\Logs -fordate 2/1/2025Чтобы скачать журналы для диапазона дат (например, с 01.02.2025 по 14.02.2025), выполните следующую команду:
Get-AipServiceUserLog -Path E:\Logs -fromdate 2/1/2025 –todate 2/14/2025
При указании только дня, как в наших примерах, предполагается, что время будет 00:00:00 в вашем местном времени, а затем преобразуется в utc. При указании времени с параметрами -fromdate или -todate (например, -fordate "01.02.2025 15:00:00"), эти дата и время преобразуются в utc. Затем команда Get-AipServiceUserLog получает журналы за этот период времени в формате UTC.
Вы не можете указать менее целого дня для скачивания.
По умолчанию этот командлет использует три потока для скачивания журналов. Если у вас достаточная пропускная способность сети и вы хотите уменьшить время, необходимое для загрузки журналов, используйте параметр -NumberOfThreads, который поддерживает значение от 1 до 32. Например, при выполнении следующей команды командлет создает 10 потоков для скачивания журналов: Get-AipServiceUserLog -Path E:\Logs -fromdate 2/1/2025 –todate 2/14/2025 -numberofthreads 10
Совет
Вы можете объединить все скачанные файлы журнала в формат CSV с помощью средства синтаксического анализа журналов Майкрософт, который является средством для преобразования между различными хорошо известными форматами журналов. Это средство также можно использовать для преобразования данных в формат SYSLOG или их импорта в базу данных. После установки средства запустите LogParser.exe /? для получения справки и сведений, чтобы использовать это средство.
Например, можно выполнить следующую команду, чтобы импортировать все сведения в формат файла .log: logparser –i:w3c –o:csv "SELECT * INTO AllLogs.csv FROM *.log"
Интерпретация журналов использования
Используйте следующие сведения, чтобы интерпретировать журналы использования Azure Rights Management.
Последовательность журнала
Служба Azure Rights Management записывает журналы в виде ряда BLOB-объектов.
Каждая запись в журнале имеет метку времени в формате UTC. Так как служба работает на нескольких серверах в нескольких центрах обработки данных, иногда журналы могут казаться неупорядоченными, даже если они отсортированы по метке времени. Однако разница невелика и обычно в течение минуты. В большинстве случаев это не проблема, которая может быть проблемой для анализа журналов.
Формат BLOB-объекта
Каждый большой двоичный объект имеет расширенный формат журнала W3C. Он начинается со следующих двух строк:
#Software: RMS
#Version: 1.1
В первой строке указано, что это журналы использования из Azure Rights Management. Во второй строке определяется, что остальная часть большого двоичного объекта соответствует спецификации версии 1.1. Мы рекомендуем всем приложениям, которые анализируют эти журналы, проверять эти две строки, прежде чем продолжить анализ остальной части большого двоичного объекта.
В третьей строке перечисляется список имен полей, разделенных вкладками:
#Fields: date time row-id request-type user-id result correlation-id content-id owner-email issuer template-id file-name date-published c-info c-ip admin-action acting-as-user
Каждая из последующих строк является записью журнала. Значения полей находятся в том же порядке, что и в предыдущей строке, и разделяются вкладками. Используйте следующую таблицу для интерпретации полей.
| Имя поля | Тип данных W3C | Описание | Пример значения |
|---|---|---|---|
| дата | Date | Дата обработки запроса в формате UTC. Источником являются локальные часы на сервере, который обслуживал запрос. |
2013-06-25 |
| time | Time | Время в формате UTC в 24-часовом формате, когда был обслужен запрос. Источником являются локальные часы на сервере, который обслуживал запрос. |
21:59:28 |
| row-id | Текст | Уникальный ИДЕНТИФИКАТОР для этой записи журнала. Если значение отсутствует, используйте значение идентификатора корреляции для идентификации записи. Это значение полезно при агрегации журналов или копировании журналов в другой формат. |
1c3fe7a9-d9e0-4654-97b7-14fafa72ea63 |
| тип запроса | Имя | Имя запрошенного API RMS. | AcquireLicense |
| идентификатор пользователя | String | Пользователь, который сделал запрос. Значение заключено в одинарные кавычки. Вызовы из ключа клиента Azure Rights Management, управляемого вами (BYOK), имеют значение ", которое также применяется, если типы запросов являются анонимными. |
‘joe@contoso.com’ |
| result | String | "Успешно", если запрос был успешно обслужен. Тип ошибки в одинарных кавычках, если запрос завершился ошибкой. |
"Успех" |
| идентификатор корреляции | Текст | GUID, который является общим для соответствующего журнала клиента и журнала сервера для заданного запроса. Это значение может быть полезно для устранения неполадок с клиентом. |
cab52088-8925-4371-be34-4b71a3112356 |
| content-id | Текст | GUID, заключенный в фигурные скобки, идентифицирующий зашифрованное содержимое (например, документ). Это поле имеет значение, только если тип запроса имеет значение AcquireLicense и пуст для всех остальных типов запросов. |
{bb4af47b-cfed-4719-831d-71b98191a4f2} |
| сообщение электронной почты владельца | String | Email адрес владельца документа. Это поле пусто, если тип запроса — RevokeAccess. |
alice@contoso.com |
| эмитент | String | Email адрес издателя документа. Это поле пусто, если тип запроса — RevokeAccess. |
alice@contoso.com (или) FederatedEmail.4c1f4d-93bf-00a95fa1e042@contoso.onmicrosoft.com' |
| template-id | String | Идентификатор шаблона управления правами, используемого для шифрования документа. Это поле пусто, если тип запроса — RevokeAccess. |
{6d9371a6-4e2d-4e97-9a38-202233fed26e} |
| имя файла | String | Имя файла зашифрованного документа, отслеживаемого с помощью клиента Защита информации Microsoft Purview. В настоящее время некоторые файлы (например, документы Office) отображаются как идентификаторы GUID, а не фактическое имя файла. Это поле пусто, если тип запроса — RevokeAccess. |
TopSecretDocument.docx |
| дата публикации | Date | Дата шифрования документа. Это поле пусто, если тип запроса — RevokeAccess. |
2015-10-15T21:37:00 |
| c-info | String | Сведения о клиентской платформе, выполняющей запрос. Конкретная строка зависит от приложения (например, операционной системы или браузера). |
"MSIPC; version=1.0.623.47; AppName=WINWORD.EXE; AppVersion=15.0.4753.1000; AppArch=x86; OSName=Windows; OSVersion=6.1.7601; OSArch=amd64' |
| c-ip | Address | IP-адрес клиента, который выполняет запрос. | 64.51.202.144 |
| admin-action | Логический | Имеет ли администратор доступ к сайту отслеживания документов в режиме администратора. | Верно |
| действия от имени пользователя | String | Адрес электронной почты пользователя, для которого администратор обращается к сайту отслеживания документов. | 'joe@contoso.com' |
Исключения для поля идентификатора пользователя
Хотя поле user-id обычно указывает пользователя, который сделал запрос, существует два исключения, в которых значение не сопоставляется с реальным пользователем:
Значение 'microsoftrmsonline@<YourTenantID.rms>.<region.aadrm.com>'.
Это означает, что служба Microsoft 365, например Exchange или SharePoint, выполняет запрос. В строке YourTenantID> — это GUID для вашего клиента,< а <регион> — регион, в котором зарегистрирован ваш клиент. Например, na представляет Северная Америка, eu — Европу, а ap — Азию.
Если вы используете соединитель Rights Management.
Запросы от этого соединителя регистрируются с именем субъекта-службы Aadrm_S-1-7-0, которое автоматически создается при установке соединителя Rights Management.
Типичные типы запросов
Существует множество типов запросов для службы Azure Rights Management, но в следующей таблице указаны некоторые из наиболее часто используемых типов запросов.
| Тип запроса | Описание |
|---|---|
| AcquireLicense | Клиент с компьютера под управлением Windows запрашивает лицензию на использование зашифрованного содержимого. |
| AcquirePreLicense | Клиент от имени пользователя запрашивает лицензию на использование зашифрованного содержимого. |
| AcquireTemplates | Был вызван вызов для получения шаблонов управления правами на основе идентификаторов шаблонов. |
| AcquireTemplateInformation | Был вызван вызов, чтобы получить идентификаторы шаблона управления правами из службы. |
| AddTemplate | На портале администрирования выполняется вызов для добавления шаблона управления правами. |
| AllDocsCsv | С сайта отслеживания документов выполняется вызов, чтобы скачать CSV-файл со страницы "Все документы ". |
| BECreateEndUserLicenseV1 | Вызов выполняется с мобильного устройства для создания лицензии конечного пользователя. |
| BEGetAllTemplatesV1 | Вызов выполняется с мобильного устройства (серверной части) для получения всех шаблонов управления правами. |
| Удостоверять | Клиент сертифицировал пользователя для использования и создания зашифрованного содержимого. |
| FECreateEndUserLicenseV1 | Аналогично запросу AcquireLicense, но с мобильных устройств. |
| FECreatePublishingLicenseV1 | То же, что и Certificate и GetClientLicensorCert вместе взятых, от мобильных клиентов. |
| FEGetAllTemplates | Для получения шаблонов управления правами выполняется вызов с мобильного устройства (внешнего интерфейса). |
| FindServiceLocationsForUser | Выполняется вызов для запроса URL-адресов, который используется для вызова Certify или AcquireLicense. |
| GetClientLicensorCert | Клиент запрашивает сертификат публикации (который позже используется для шифрования содержимого) с компьютера под управлением Windows. |
| GetConfiguration | Командлет PowerShell вызывается для получения конфигурации клиента для службы Azure Rights Management. |
| GetConnectorAuthorizations | Вызов выполняется из соединителей Rights Management, чтобы получить их конфигурацию из облака. |
| GetRecipients | С сайта отслеживания документов выполняется вызов для перехода к представлению списка для одного документа. |
| GetTenantFunctionalState | Портал администрирования проверяет, активирована ли служба Azure Rights Management. |
| KeyVaultDecryptRequest | Клиент пытается расшифровать зашифрованное содержимое Rights Management. Применимо только для ключа клиента, управляемого клиентом (BYOK), в Azure Key Vault. |
| KeyVaultGetKeyInfoRequest | Выполняется вызов, чтобы убедиться, что ключ, указанный для использования в Azure Key Vault для ключа клиента Azure Rights Management, доступен и еще не используется. |
| KeyVaultSignDigest | Вызов выполняется, когда управляемый клиентом ключ (BYOK) в Azure Key Vault используется для подписывания. Обычно это называется один раз для AcquireLicence (или FECreateEndUserLicenseV1), Certificate и GetClientLicensorCert (или FECreatePublishingLicenseV1). |
| KMSPDecrypt | Клиент пытается расшифровать зашифрованное содержимое Rights Management. Применимо только для устаревшего ключа клиента, управляемого клиентом (BYOK). |
| KMSPSignDigest | Вызов выполняется, когда для подписывания используется устаревший ключ, управляемый клиентом (BYOK). Обычно это называется один раз для AcquireLicence (или FECreateEndUserLicenseV1), Certificate и GetClientLicensorCert (или FECreatePublishingLicenseV1). |
| ServerCertify | Вызов выполняется из клиента с поддержкой Rights Management (например, SharePoint) для сертификации сервера. |
| SetUsageLogFeatureState | Выполняется вызов для включения ведения журнала использования. |
| SetUsageLogStorageAccount | Выполняется вызов, чтобы указать расположение журналов службы Azure Rights Management. |
| UpdateTemplate | На портале администрирования выполняется вызов для обновления существующего шаблона управления правами. |
Журналы использования Azure Rights Management и аудит Microsoft Purview
События доступа к файлам и запрещенные события не включают имя файла и недоступны в едином журнале аудита Microsoft Purview.
Справочные материалы по PowerShell
После подключения к службе Azure Rights Management единственным командлетом PowerShell, который требуется для доступа к журналу использования Azure Rights Management, является Get-AipServiceUserLog.
Дополнительные сведения об использовании PowerShell для службы Azure Rights Management см. в статье Администрирование службы Azure Rights Management с помощью PowerShell.