Azure Information Protection'dan koruma kullanımını günlüğe kaydetme ve analiz etme
Not
Eski adı Microsoft Information Protection (MIP) olan Microsoft Purview Bilgi Koruması mi arıyorsunuz?
Azure Information Protection eklentisi kullanımdan kaldırılır ve microsoft 365 uygulama ve hizmetlerinizde yerleşik olarak bulunan etiketlerle değiştirilir. Diğer Azure Information Protection bileşenlerinin destek durumu hakkında daha fazla bilgi edinin.
Yeni Microsoft Information Protection istemcisi (eklenti olmadan) şu anda önizleme aşamasındadır ve genel kullanılabilirlik için zamanlanmıştır.
Azure Information Protection’ın koruma hizmeti (Azure Rights Management) için kullanım günlük kaydını nasıl kullanabileceğinizi anlamanıza yardımcı olmak üzere bu bilgileri kullanın. Bu koruma hizmeti, kuruluşunuzun belgeleri ve e-postaları için veri koruması sağlar ve her isteği günlüğe kaydedebilir. Bu istekler, kullanıcılar belgeleri ve e-postaları koruduğunda ve bu içeriği kullandığında, bu hizmet için yöneticileriniz tarafından gerçekleştirilen eylemler ve Azure Information Protection dağıtımınızı desteklemek için Microsoft operatörleri tarafından gerçekleştirilen eylemleri içerir.
Ardından aşağıdaki iş senaryolarını desteklemek için bu koruma kullanım günlüklerini kullanabilirsiniz:
İş içgörülerini analiz etme
Koruma hizmeti tarafından oluşturulan günlükler, bilgileri analiz etmek ve raporlar oluşturmak için istediğiniz bir depoya (veritabanı, çevrimiçi analitik işleme (OLAP) sistemi veya harita azaltma sistemi gibi) aktarılabilir. Örneğin, korumalı verilerinize kimlerin eriştiğini belirleyebilirsiniz. Kişilerin hangi korumalı verilere eriştiğini ve hangi cihazlardan ve nereden eriştiğini belirleyebilirsiniz. Kişilerin korumalı içeriği başarıyla okuyup okuyamayacağını öğrenebilirsiniz. Ayrıca, korunan önemli bir belgeyi hangi kişilerin okuduğunu da belirleyebilirsiniz.
Uygunsuz kullanımı izleme
Koruma kullanımıyla ilgili günlük bilgileri neredeyse gerçek zamanlı olarak kullanılabilir, böylece şirketinizin koruma hizmetini kullanımını sürekli olarak izleyebilirsiniz. Günlüklerin %99,9'unu hizmet için başlatılan eylemi izleyen 15 dakika içinde kullanabilirsiniz.
Örneğin, korumalı verileri standart çalışma saatleri dışında okuyan kişilerde ani bir artış olması durumunda uyarı almak isteyebilirsiniz. Bu durum kötü niyetli bir kullanıcının rakiplere satış yapmak için bilgi topladığını gösterebilir. Ya da, aynı kullanıcı görünüşe göre kısa bir süre içinde iki farklı IP adreslerinden verilere erişiyorsa, bu bir kullanıcı hesabının gizliliğinin ihlal edildiğini gösterebilir.
Adli analiz gerçekleştirme
Bilgi sızıntısı varsa, yakın zamanda belirli belgelere kimlerin erişmiş olduğu ve şüpheli bir kişinin yakın zamanda hangi bilgilere erişmiş olduğu size sorulur. Korumalı içerik kullanan kişilerin, bu dosyalar e-postayla taşınsa veya USB sürücülerine veya diğer depolama cihazlarına kopyalansa bile, Azure Information Protection tarafından korunan belgeleri ve resimleri açmak için her zaman Rights Management lisansı alması gerektiğinden, bu günlük kaydını kullanırken bu tür soruları yanıtlayabilirsiniz. Bu, Verilerinizi Azure Information Protection kullanarak koruduğunuzda bu günlükleri adli analiz için kesin bir bilgi kaynağı olarak kullanabileceğiniz anlamına gelir.
Bu kullanım günlüğüne ek olarak aşağıdaki günlük seçeneklerine de sahipsiniz:
| Günlüğe kaydetme seçeneği | Açıklama |
|---|---|
| Yönetici günlüğü | Koruma hizmeti için yönetim görevlerini günlüğe kaydeder. Örneğin, hizmet devre dışı bırakılırsa, süper kullanıcı özelliği etkinleştirildiğinde ve kullanıcılara hizmet için yönetici izinleri atandığında. Daha fazla bilgi için bkz. Get-AipService Yönetici Log Adlı PowerShell cmdlet'i. |
| Belge izleme | Kullanıcıların Azure Information Protection istemcisiyle izledikleri belgeleri izlemelerine ve iptal etmelerine olanak tanır. Genel yöneticiler bu belgeleri kullanıcılar adına da izleyebilir. Daha fazla bilgi için bkz . Azure Information Protection için belge izlemeyi yapılandırma ve kullanma. |
| İstemci olay günlükleri | Azure Information Protection istemcisinin kullanım etkinliği, yerel Windows Uygulamaları ve Hizmetleri olay günlüğü olan Azure Information Protection'da günlüğe kaydedilir. Daha fazla bilgi için bkz . Azure Information Protection istemcisi için kullanım günlüğü. |
| İstemci günlük dosyaları | %localappdata%\Microsoft\MSIP konumunda bulunan Azure Information Protection istemcisi için günlük sorunlarını giderme. Bu dosyalar Microsoft Desteği için tasarlanmıştır. |
Ayrıca, Azure Information Protection istemci kullanım günlüklerinden ve Azure Information Protection tarayıcısından alınan bilgiler toplanır ve azure portalında rapor oluşturmak için toplanır. Daha fazla bilgi için bkz . Azure Information Protection için Raporlama.
Koruma hizmetinin kullanım günlüğü hakkında daha fazla bilgi için aşağıdaki bölümleri kullanın.
Koruma kullanımı için günlüğe kaydetmeyi etkinleştirme
Koruma kullanımı günlüğü tüm müşteriler için varsayılan olarak etkindir.
Günlük depolama veya günlük özelliği işlevselliği için ek maliyet yoktur.
Koruma kullanım günlüklerinize erişme ve bunları kullanma
Azure Information Protection, kiracınız için otomatik olarak oluşturduğu bir Azure depolama hesabına günlükleri bir dizi blob olarak yazar. Her blob, W3C genişletilmiş günlük biçiminde bir veya daha fazla günlük kaydı içerir. Blob adları, oluşturuldukları sırayla sayılardır. Bu belgenin devamında yer alan Azure Rights Management kullanım günlüklerinizi yorumlama bölümü, günlük içeriği ve bunların oluşturulması hakkında daha fazla bilgi içerir.
Bir koruma eyleminin ardından günlüklerin depolama hesabınızda görünmesi biraz zaman alabilir. Günlüklerin çoğu 15 dakika içinde görünür. Kullanım günlükleri yalnızca "tarih" alan adı önceki bir tarihin değerini (UTC saatinde) içerdiğinde kullanılabilir. Geçerli tarihteki kullanım günlükleri kullanılamıyor. Günlükleri yerel klasör, veritabanı veya harita azaltma deposu gibi yerel depolamaya indirmenizi öneririz.
Kullanım günlüklerinizi indirmek için Azure Information Protection için AIPService PowerShell modülünü kullanacaksınız. Yükleme yönergeleri için bkz . AIPService PowerShell modülünü yükleme.
PowerShell kullanarak kullanım günlüklerinizi indirmek için
Windows PowerShell'i Yönetici olarak çalıştır seçeneğiyle başlatın ve Azure Information Protection'a bağlanmak için Bağlan-AipService cmdlet'ini kullanın:
Connect-AipServiceBelirli bir tarihe ilişkin günlükleri indirmek için aşağıdaki komutu çalıştırın:
Get-AipServiceUserLog -Path <location> -fordate <date>Örneğin, E: sürücünüzde Günlükler adlı bir klasör oluşturduktan sonra:
Belirli bir tarihe (1/2/2016 gibi) ilişkin günlükleri indirmek için aşağıdaki komutu çalıştırın:
Get-AipServiceUserLog -Path E:\Logs -fordate 2/1/2016Bir tarih aralığının günlüklerini indirmek için (örneğin, 1/2/2016 ile 14/2/2016 arasında) aşağıdaki komutu çalıştırın:
Get-AipServiceUserLog -Path E:\Logs -fromdate 2/1/2016 –todate 2/14/2016
Örneklerimizde olduğu gibi yalnızca günü belirttiğinizde, saat yerel saatinizde 00:00:00 olarak kabul edilir ve ardından UTC'ye dönüştürülür. -fromdate veya -todate parametrelerinizle bir saat belirttiğinizde (örneğin, -fordate "1/2/2016 15:00:00") bu tarih ve saat UTC'ye dönüştürülür. Get-AipServiceUserLog komutu daha sonra bu UTC zaman aralığına ait günlükleri alır.
İndirilmesi bir günden az olamaz.
Varsayılan olarak, bu cmdlet günlükleri indirmek için üç iş parçacığı kullanır. Yeterli ağ bant genişliğine sahipseniz ve günlükleri indirmek için gereken süreyi azaltmak istiyorsanız, 1 ile 32 arasında bir değeri destekleyen -NumberOfThreads parametresini kullanın. Örneğin, aşağıdaki komutu çalıştırırsanız, cmdlet günlükleri indirmek için 10 iş parçacığı oluşturulur: Get-AipServiceUserLog -Path E:\Logs -fromdate 2/1/2016 –todate 2/14/2016 -numberofthreads 10
İpucu
İndirilen tüm günlük dosyalarınızı, Microsoft'un iyi bilinen çeşitli günlük biçimleri arasında dönüştürmeye yönelik bir araç olan Günlük Ayrıştırıcısı'nı kullanarak bir CSV biçiminde toplayabilirsiniz. Verileri SYSLOG biçimine dönüştürmek veya veritabanına aktarmak için de bu aracı kullanabilirsiniz. Aracı yükledikten sonra, bu aracı kullanmak için yardım ve bilgi için komutunu çalıştırın LogParser.exe /? .
Örneğin, tüm bilgileri .log dosya biçiminde içeri aktarmak için aşağıdaki komutu çalıştırabilirsiniz: logparser –i:w3c –o:csv "SELECT * INTO AllLogs.csv FROM *.log"
Kullanım günlüklerinizi yorumlama
Koruma kullanım günlüklerini yorumlamanıza yardımcı olması için aşağıdaki bilgileri kullanın.
Günlük dizisi
Azure Information Protection günlükleri bir dizi blob olarak yazar.
Günlükteki her girişin utc zaman damgası vardır. Koruma hizmeti birden çok veri merkezinde birden çok sunucuda çalıştığından, bazen günlükler zaman damgalarına göre sıralanmış olsalar bile sıra dışı görünebilir. Ancak fark küçüktür ve genellikle bir dakika içinde gerçekleşir. Çoğu durumda bu, günlük analizi için sorun olabilecek bir sorun değildir.
Blob biçimi
Her blob W3C genişletilmiş günlük biçimindedir. Aşağıdaki iki satırla başlar:
#Software: RMS
#Version: 1.1
İlk satır, bunların Azure Information Protection'dan koruma günlükleri olduğunu tanımlar. İkinci satır, blobun geri kalanının sürüm 1.1 belirtimini izlediğini tanımlar. Blobun geri kalanını ayrıştırmaya devam etmeden önce bu günlükleri ayrıştıran uygulamaların bu iki satırı doğrulamasını öneririz.
Üçüncü satır, sekmelerle ayrılmış alan adlarının listesini numaralandırır:
#Fields: date time row-id request-type user-id result correlation-id content-id owner-email issuer template-id file-name date-published c-info c-ip admin-action acting-as-user
Sonraki satırların her biri bir günlük kaydıdır. Alanların değerleri önceki satırla aynı sıradadır ve sekmelerle ayrılır. Alanları yorumlamak için aşağıdaki tabloyu kullanın.
| Alan adı | W3C veri türü | Açıklama | Örnek değer |
|---|---|---|---|
| Tarih | Tarih | İsteğin sunulduğu UTC tarihi. Kaynak, isteğin sunulduğu sunucudaki yerel saattir. |
2013-06-25 |
| Zaman | Saat | İsteğin sunulduğu 24 saatlik biçimde UTC saati. Kaynak, isteğin sunulduğu sunucudaki yerel saattir. |
21:59:28 |
| satır kimliği | Metin | Bu günlük kaydı için benzersiz GUID. Bir değer yoksa, girdiyi tanımlamak için bağıntı-kimlik değerini kullanın. Bu değer, günlükleri topladığınızda veya günlükleri başka bir biçimde kopyaladığınızda kullanışlıdır. |
1c3fe7a9-d9e0-4654-97b7-14fafa72ea63 |
| istek türü | Veri Akışı Adı | İstenen RMS API'sinin adı. | AcquireLicense |
| kullanıcı kimliği | String | İsteği yapan kullanıcı. Değer tek tırnak içine alınır. Sizin tarafınızdan yönetilen bir kiracı anahtarından (BYOK) yapılan çağrıların değeri "'dir ve bu değer istek türleri anonim olduğunda da geçerlidir. |
'joe@contoso.com' |
| Sonuç | String | İstek başarılı olarak sunulduğunda 'Başarılı'. İstek başarısız olursa hata türü tek tırnak işaretiyle gösterilir. |
'Başarılı' |
| correlation-id | Metin | Belirli bir istek için RMS istemci günlüğü ile sunucu günlüğü arasında ortak olan GUID. Bu değer, istemci sorunlarını gidermeye yardımcı olmak için yararlı olabilir. |
cab52088-8925-4371-be34-4b71a3112356 |
| content-id | Metin | KORUMALı içeriği (örneğin, bir belge) tanımlayan küme ayraçları içine alınmış GUID. Bu alan yalnızca istek türü AcquireLicense ise ve diğer tüm istek türleri için boşsa bir değere sahiptir. |
{bb4af47b-cfed-4719-831d-71b98191a4f2} |
| sahip-e-posta | String | Belge sahibinin e-posta adresi. İstek türü RevokeAccess ise bu alan boş olur. |
alice@contoso.com |
| Veren | String | Belgeyi verenin e-posta adresi. İstek türü RevokeAccess ise bu alan boş olur. |
alice@contoso.com (veya) FederatedEmail.4c1f4d-93bf-00a95fa1e042@contoso.onmicrosoft.com' |
| template-id | String | Belgeyi korumak için kullanılan şablonun kimliği. İstek türü RevokeAccess ise bu alan boş olur. |
{6d9371a6-4e2d-4e97-9a38-202233fed26e} |
| dosya adı | String | Windows için Azure Information Protection istemcisi kullanılarak izlenen korumalı bir belgenin dosya adı. Şu anda bazı dosyalar (Office belgeleri gibi) gerçek dosya adı yerine GUID olarak görüntülenir. İstek türü RevokeAccess ise bu alan boş olur. |
TopSecretDocument.docx |
| yayımlanma tarihi | Tarih | Belgenin korunduğu tarih. İstek türü RevokeAccess ise bu alan boş olur. |
2015-10-15T21:37:00 |
| c-info | String | İstekte bulunan istemci platformu hakkında bilgiler. Belirli dize, uygulamaya (örneğin, işletim sistemi veya tarayıcı) bağlı olarak değişir. |
'MSIPC; version=1.0.623.47; AppName=WINWORD.EXE; AppVersion=15.0.4753.1000; AppArch=x86; OSName=Windows; OSVersion=6.1.7601; OSArch=amd64' |
| c-ip | Adres | İstekte bulunan istemcinin IP adresi. | 64.51.202.144 |
| yönetici eylemi | Boole | Yöneticinin belge izleme sitesine Yönetici istrator modunda erişip erişmediği. | True |
| kullanıcı olarak hareket etme | String | Yöneticinin belge izleme sitesine eriştiği kullanıcının e-posta adresi. | 'joe@contoso.com' |
Kullanıcı kimliği alanı için özel durumlar
User-id alanı genellikle isteği yapan kullanıcıyı gösterse de, değerin gerçek bir kullanıcıyla eşlenmediği iki özel durum vardır:
'microsoftrmsonline@<YourTenantID.rms> değeri.<region.aadrm.com>'.
Bu, isteği Exchange Online veya Microsoft SharePoint gibi bir Office 365 hizmetinin yaptığını gösterir. Dizede, YourTenantID> kiracınızın GUID'sini, <bölge> ise kiracınızın kayıtlı olduğu bölgedir.< Örneğin, na Kuzey Amerika, eu Avrupa'yı, ap ise Asya'yı temsil eder.
RMS bağlayıcısını kullanıyorsanız.
Bu bağlayıcıdan gelen istekler, RMS bağlayıcısını yüklediğinizde otomatik olarak oluşturulan Aadrm_S-1-7-0 hizmet asıl adıyla günlüğe kaydedilir.
Tipik istek türleri
Koruma hizmeti için birçok istek türü vardır, ancak aşağıdaki tabloda en sık kullanılan istek türlerinden bazıları tanımlanmıştır.
| İstek türü | Açıklama |
|---|---|
| AcquireLicense | Windows tabanlı bir bilgisayardan bir istemci korumalı içerik için lisans isteğinde bulunur. |
| AcquirePreLicense | Kullanıcı adına bir istemci, korumalı içerik için lisans isteğinde bulunur. |
| AcquireTemplates | Şablon kimliklerine göre şablon almak için bir çağrı yapıldı |
| AcquireTemplateInformation | Hizmetten şablonun kimliklerini almak için bir çağrı yapıldı. |
| AddTemplate | Şablon eklemek için Azure portalından bir çağrı yapılır. |
| AllDocsCsv | Tüm Belgeler sayfasından CSV dosyasını indirmek için belge izleme sitesinden bir çağrı yapılır. |
| BECreateEndUserLicenseV1 | Mobil cihazdan son kullanıcı lisansı oluşturmak için bir çağrı yapılır. |
| BEGetAllTemplatesV1 | Tüm şablonları almak için mobil cihazdan (arka uç) bir çağrı yapılır. |
| Tasdik | İstemci, korumalı içeriğin tüketilmesi ve oluşturulması için kullanıcıyı onaylar. |
| FECreateEndUserLicenseV1 | AcquireLicense isteğine benzer ancak mobil cihazlardan. |
| FECreatePublishingLicenseV1 | Mobil istemcilerden Certify ve GetClientLicensorCert ile aynı. |
| FEGetAllTemplates | Şablonları almak için mobil cihazdan (ön uç) bir çağrı yapılır. |
| FindServiceLocationsForUser | Certify veya AcquireLicense'i çağırmak için kullanılan URL'leri sorgulamak için bir çağrı yapılır. |
| GetClientLicensorCert | İstemci, Windows tabanlı bir bilgisayardan bir yayımlama sertifikası (daha sonra içeriği korumak için kullanılır) ister. |
| GetConfiguration | Azure RMS kiracısının yapılandırmasını almak için bir Azure PowerShell cmdlet'i çağrılır. |
| Get Bağlan orAuthorizations | RMS bağlayıcılarından yapılandırmalarını buluttan almak için bir çağrı yapılır. |
| GetRecipients | Tek bir belgenin liste görünümüne gitmek için belge izleme sitesinden bir çağrı yapılır. |
| GetTenantFunctionalState | Azure portalı, koruma hizmetinin (Azure Rights Management) etkinleştirilip etkinleştirilmediğini denetler. |
| KeyVaultDecryptRequest | İstemci, RMS korumalı içeriğin şifresini çözmeye çalışıyor. Yalnızca Azure Key Vault'ta müşteri tarafından yönetilen kiracı anahtarı (BYOK) için geçerlidir. |
| KeyVaultGetKeyInfoRequest | Azure Information Protection kiracı anahtarı için Azure Key Vault'ta kullanılmak üzere belirtilen anahtarın erişilebilir olduğunu ve henüz kullanılmadığını doğrulamak için bir çağrı yapılır. |
| KeyVaultSignDigest | Azure Key Vault'ta müşteri tarafından yönetilen anahtar (BYOK) imzalama amacıyla kullanıldığında bir çağrı yapılır. Bu genellikle AcquireLicence (veya FECreateEndUserLicenseV1), Certify ve GetClientLicensorCert (veya FECreatePublishingLicenseV1) başına bir kez çağrılır. |
| KMSPDecrypt | İstemci, RMS korumalı içeriğin şifresini çözmeye çalışıyor. Yalnızca eski bir müşteri tarafından yönetilen kiracı anahtarı (KAG) için geçerlidir. |
| KMSPSignDigest | İmzalama amacıyla eski bir müşteri tarafından yönetilen anahtar (KAG) kullanıldığında bir çağrı yapılır. Bu genellikle AcquireLicence (veya FECreateEndUserLicenseV1), Certify ve GetClientLicensorCert (veya FECreatePublishingLicenseV1) başına bir kez çağrılır. |
| ServerCertify | Sunucuyu onaylamak için RMS özellikli bir istemciden (SharePoint gibi) bir çağrı yapılır. |
| SetUsageLogFeatureState | Kullanım günlüğünü etkinleştirmek için bir çağrı yapılır. |
| SetUsageLog Depolama Account | Azure Rights Management hizmet günlüklerinin konumunu belirtmek için bir çağrı yapılır. |
| UpdateTemplate | Mevcut şablonu güncelleştirmek için Azure portalından bir çağrı yapılır. |
Koruma kullanım günlükleri ve Microsoft 365 birleşik denetim günlüğü
Dosya erişimi ve reddedilen olaylar şu anda dosya adı içermez ve Microsoft 365 birleşik denetim günlüğünde erişilebilir değildir. Bu olaylar tek başına yararlı olacak şekilde geliştirilecek ve daha sonraki bir tarihte Rights Management Hizmeti'nden eklenecektir.
PowerShell başvurusu
Koruma kullanım günlüğünüze erişmek için ihtiyacınız olan tek PowerShell cmdlet'i Get-AipServiceUserLog'dur.
Azure Information Protection için PowerShell'i kullanma hakkında daha fazla bilgi için bkz. PowerShell kullanarak Azure Information Protection'dan korumayı Yönetici.
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin