руководство по Администратор. Унифицированные файлы клиента и ведение журнала использования клиента в Azure Information Protection

  • Статья

Примечание.

Ищете информацию о Microsoft Purview Information Protection (прежнее название — Microsoft Information Protection, MIP)?

Надстройка Azure Information Protection отменяется и заменяется метками, встроенными в приложения и службы Microsoft 365. Дополнительные сведения о состоянии поддержки других компонентов Azure Information Protection.

Новый клиент Защита информации Microsoft Purview (без надстройки) в настоящее время находится в предварительной версии и планируется для общедоступной доступности.

После установки клиента унифицированных меток Azure Information Protection может потребоваться узнать, где находятся файлы и отслеживать, как используется клиент.

Ведение журнала использования поддерживается с помощью клиента унифицированных меток Azure Information Protection версии 2.12.62 и более поздних версий.

Включение ведения журнала использования

Чтобы включить поддержку ведения журнала использования для клиента унифицированных меток и сканера, задайте раздел реестра следующим образом:

  • Путь к реестру: HKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\EnableLoggingAuditEventsToEventLog
  • Тип: DWORD
  • Значение: 1

Расположение файлов журналов

Файлы журналов клиента и сканера находятся в следующих расположениях на клиентском компьютере унифицированных меток:

  • \ProgramFiles (x86)\Microsoft Azure Information Protection (только 64-разрядные операционные системы)
  • \Program Files\Microsoft Azure Information Protection (только 32-разрядные операционные системы)
  • %localappdata%\Microsoft\MSIP

Ведение журнала использования на стороне клиента

Примечание.

Ведение журнала использования на стороне клиента в настоящее время находится в предварительной версии. Предварительная версия дополнительных условий использования Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не общедоступны по другим причинам.

Единая маркировка клиента регистрирует действия пользователя в локальных приложениях журнала событий Windows и службах Logs>Azure Information Protection.

Зарегистрированные события для клиента включают следующие сведения:

  • Версия клиента

  • IP-адреса вошедшего пользователя

  • Имя файла и расположение

  • Действие:

    • Установка метки: идентификатор сведений 101

    • Удаление метки: идентификатор сведений 104

    • Метка обнаружения: идентификатор сведений 106

    • Применение настраиваемой защиты: идентификатор информации 201

    • Удаление настраиваемой защиты: идентификатор информации 202

События для Outlook предупреждают, оправдывают и блокируют сообщения, требуют расширенных параметров клиента. Дополнительные сведения см. в статье "Реализация всплывающих сообщений в Outlook, которые предупреждают, оправдывают или блокируют отправку сообщений электронной почты".

Ведение журнала использования на стороне сканера

Действия сканера регистрируются в следующем локальном журнале событий Windows: приложения и службы Журналы>Azure Information Protection Сканер

Зарегистрированные события для сканера содержат следующие сведения:

  • Имя компьютера сканера

  • SID (идентификатор безопасности) пользователя, вошедшего в систему сканера

  • Действие, одно из следующих типов сообщений:

    • Сведения о сообщениях, одном из следующих сообщений:

      • Начало сканирования: идентификатор сведений 1001

      • Завершена проверка: идентификатор сведений 1002

      • Событие изменения: идентификатор сведений 1003

      • Событие обнаружения: идентификатор сведений 1004

      • Удален файл: идентификатор сведений 1005

      • Соответствующее правило защиты от потери данных: идентификатор сведений 1006

      • Отчет о разрешениях: идентификатор сведений 1007

    • Предупреждающее сообщение:

      • Предупреждение: идентификатор сведений 2001

      • Проверка отменена: идентификатор сведений 2002

    • Сообщение об ошибке, одно из следующих сообщений:

      • Неизвестная ошибка: идентификатор сведений 3001

      • Нет условий автоматической маркировки: идентификатор сведений 3002

      • Ошибка базы данных: идентификатор сведений 3003

      • Ошибка схемы базы данных: идентификатор сведений 3004

      • Политики не найдены: идентификатор сведений 3005

      • Политики защиты от потери данных не найдены: идентификатор сведений 3006

      • Задания сканирования содержимого не найдены: идентификатор сведений 3007

  • Данные события для получения дополнительных сведений в зависимости от типа действия

Дальнейшие действия

Дополнительные сведения см. в разделе: