AipHeartBeat

Azure 信息保护 是一项服务,允许组织对敏感数据进行分类和标记,并应用策略来控制数据的访问和共享方式。

AipHeartBeat 是一种记录在统一审核日志Office 365的事件类型。 AipHeartBeat 事件自动生成,可用于跟踪 AIP 服务的运行状况和状态。

访问Office 365统一审核日志

可以使用以下方法访问审核日志:

审核日志搜索工具

  1. 转到Microsoft Purview 合规门户并登录。
  2. 在合规性门户的左窗格中,选择“ 审核”。

    注意

    如果在左窗格中看不到“审核”,请参阅 Microsoft Defender for Office 365 中的角色和角色组和 Microsoft Purview 合规性,了解有关权限的信息。

  3. 在“ 新建搜索 ”选项卡上,将“记录类型”设置为 “AipDiscover ”并配置其他参数。 AipDiscover 审核配置
  4. 单击“ 搜索 ”以使用条件运行搜索。 在结果窗格中,选择事件以查看结果。 可查看发现和访问操作。 AipDiscover 审核结果

有关在Microsoft Purview 合规门户中查看审核日志的详细信息,请参阅审核日志活动

在 PowerShell 中搜索统一审核日志

若要使用 PowerShell 访问统一审核日志,请首先通过完成以下步骤连接到 Exchange Online PowerShell 会话。

建立远程 PowerShell 会话

这将与 Exchange Online 建立远程 PowerShell 会话。 建立连接后,可以运行Exchange Online cmdlet 来管理Exchange Online环境。

打开 PowerShell 窗口并运行 Install-Module -Name ExchangeOnlineManagement 命令以安装 Exchange Online 管理模块。 此模块提供可用于管理Exchange Online的 cmdlet。

  1. Connect-IPPSSession 是一个 PowerShell cmdlet,用于创建与Exchange Online PowerShell 会话的远程连接。
  2. Import-Module ExchangeOnlineManagement 是一个 PowerShell cmdlet,用于将Exchange Online管理模块导入当前 PowerShell 会话。
# Import the PSSSession and Exchange Online cmdlets
Connect-IPPSSession
Import-Module ExchangeOnlineManagement

与特定用户连接

用于提示特定用户输入Exchange Online凭据的命令。

$UserCredential = Get-Credential 

使用提供的凭据连接到Exchange Online的命令。

 Connect-ExchangeOnline -Credential $UserCredential -ShowProgress $true 

使用当前会话中的凭据进行连接

使用当前会话中的凭据连接到Exchange Online

Connect-ExchangeOnline

Search-UnifiedAuditLog cmdlet

Search-UnifiedAuditLog cmdlet 是一个 PowerShell 命令,可用于搜索统一审核日志Office 365。 统一审核日志是Office 365中的用户和管理员活动记录,可用于跟踪事件。 有关使用此 cmdlet 的最佳做法,请参阅 使用 Search-UnifiedAuditLog 的最佳做法

若要使用 PowerShell 从统一审核日志中提取 AipHeartBeat 事件,可以使用以下命令。 这将在统一审核日志中搜索指定日期范围,并返回记录类型为“AipHeartBeat”的任何事件。 结果将导出到指定路径处的 CSV 文件。

Search-UnifiedAuditLog -RecordType AipHeartBeat -StartDate (Get-Date).AddDays(-7) -EndDate (Get-Date) | Export-Csv -Path <output file>

PowerShell 中的 AipHeartBeat 事件

下面是 PowerShell 中的 AipHeartBeat 事件示例。

RecordType   : AipHeartBeat
CreationDate : 12/22/2022 8:50:10 PM
UserIds      : ipadmin@champion365.onmicrosoft.com
Operations   : HeartBeat
AuditData    : 
{
  "Common":{
    "ApplicationId":"c00e9d32-3c8d-4a7d-832b-029040e7db99",
    "ApplicationName":"Microsoft Azure Information Protection Explorer Extension",
    "ProcessName":"MSIP.App",
    "Platform":1,
    "DeviceName":"marketing-demo1",
    "ProductVersion":"2.14.90.0"
  },
  "UserId":"ipadmin@champion365.onmicrosoft.com",
  "ClientIP":"20.163.159.46",
  "Id":"2e7b94ee-92f7-480f-8b14-89d4bc0c0e43",
  "RecordType":97,
  "CreationTime":"2022-12-22T20:50:10",
  "Operation":"HeartBeat",
  "OrganizationId":"c8085975-d882-42d2-9193-d82d752a5de9",
  "UserType":0,
  "UserKey":"981d11ea-df5c-4334-b656-bb9011bc435b",
  "Workload":"Aip",
  "Version":1,
  "Scope":1
}
ResultIndex  : 9
ResultCount  : 11
Identity     : 2e7b94ee-92f7-480f-8b14-89d4bc0c0e43
IsValid      : True
ObjectState  : Unchanged

注意

这只是如何使用 Search-UnifiedAuditLog cmdlet 的示例。 可能需要调整命令并根据特定要求指定其他参数。 有关使用 PowerShell 获取统一审核日志的详细信息,请参阅 搜索统一审核日志

Office 365 管理活动 API

为了能够查询Office 365管理 API 终结点,需要使用正确的权限配置应用程序。 有关分步指南,请参阅 Office 365 管理 API 入门

REST API 中的 AipHeartBeat 事件

下面是 REST API 中的 AipHeartBeat 事件示例。

TenantId : bd285ff7-1a38-4306-adaf-a367669731c3
SourceSystem : RestAPI
TimeGenerated [UTC] : 2022-12-21T17:18:20Z
EventCreationTime [UTC] : 2022-12-21T17:18:20Z
Id : a5ee064a-9508-4332-9853-db4bc8813f4c
Operation : HeartBeat
OrganizationId : ac1dff03-7e0e-4ac8-a4c9-9b38d24f062c
RecordType : 97
UserType : 0
Version : 1
Workload : Aip
UserId : mipscanner@kazdemos.org
UserKey : 2231a98d-8749-4808-b461-1acaa5b628ac
Scope : 1
ClientIP : 52.159.112.221
Common_ApplicationId : c00e9d32-3c8d-4a7d-832b-029040e7db99
Common_ApplicationName : Microsoft Azure Information Protection Explorer Extension
Common_ProcessName : MSIP.App
Common_Platform : 1
Common_DeviceName : AIPSCANNER1.mscompliance.click
Common_ProductVersion : 2.14.90.0
Type : AuditGeneral

AipHeartBeat 事件的属性

事件 类型 说明
ApplicationId GUID 执行操作的应用程序的 ID。
ApplicationName String 执行操作的应用程序的友好名称。 (Outlook、OWA、Word、Excel、PowerPoint 等 )
ClientIP IPv4/IPv6 记录活动时使用的设备的 IP 地址。 对于某些服务,此属性中显示的值可能是代表用户调用服务的受信任应用程序(例如,Web 应用上的 Office)的 IP 地址,而不是执行活动的人员使用的设备的 IP 地址。
CreationTime 日期/时间 用户执行活动时的协调世界时 (UTC) 日期和时间。
DeviceName String 发生活动的设备。
Id GUID 审核记录的唯一标识符。
操作 String 审核日志的操作类型。 对于 AipHeartBeat,操作为检测信号。
OrganizationId GUID 组织 Office 365 租户的 GUID。 对于组织而言,该值始终相同,而不管它是在哪个 Office 365 服务中出现。
平台 双精度 活动发生自的平台。
0 = 未知
1 = Windows
2 = MacOS
3 = iOS
4 = Android
5 = Web 浏览器
ProcessName String 相关进程名称 (Outlook、MSIP.App、WinWord 等 )
productVersion 字符串 AIP 客户端的版本。
RecordType 双精度 记录指示的操作类型。 97 表示 AipHeartBeat 记录。
范围 双精度 0 表示事件是由托管的 O365 服务创建的。 1 表示事件是由本地服务器创建的。
UserID String 用户主体名称 (UPN) 执行了导致记录被记录的操作的用户。
UserKey GUID UserID 属性中标识的用户的备选 ID。 此属性填充 SharePoint、OneDrive for Business 和 Exchange 中用户执行的事件的 passport 唯一 ID (PUID)。
UserType 双精度 执行操作的用户类型。
0 = 常规
1 = 保留
2 = 管理员
3 = DcAdmin
4 = 系统
5 = 应用程序
6 = ServicePrincipal
7 = CustomPolicy
8 = SystemPolicy
版本 双精度 操作中文件的版本 ID。
Workload String (Exchange、SharePoint、OneDrive 等) 存储发生活动的Office 365服务。