如何收集 Windows 信息保护 (WIP) 审核事件日志
适用于:
- Windows 10 版本 1607 和更高版本
Windows 信息保护 (WIP) 在以下情况下创建审核事件:
员工将文件的文件所有权从工作改为个人。
数据标记为工作,但共享到某个个人应用或网页。 例如,通过复制和粘贴、拖放、共享联系人、上传到个人网页,或用户准予个人应用提供对工作文件的临时访问。
某个应用具有自定义审核事件。
通过使用报告配置服务提供程序 (CSP) 收集 WIP 审核日志
按照 报告配置服务提供商提供的指南 (CSP) 文档,从员工的设备收集 WIP 审核日志。 本主题提供有关实际审核事件的信息。
注意
响应中的数据元素包括请求的 XML 编码格式的审核日志。
用户元素和属性
此表中包含用户元素的所有可用属性。
属性 | 值类型 | 描述 |
---|---|---|
UserID | 字符串 | 与此审核报告相对应的用户的安全标识符 (SID)。 |
EnterpriseID | 字符串 | 对应于此审核报告的企业 ID。 |
日志元素和属性
下表包含日志元素的所有可用属性/元素。 响应可以包含零 (0) 个或更多日志元素。
属性/元素 | 值类型 | 描述 |
---|---|---|
ProviderType | 字符串 | 这一直是 EDPAudit。 |
LogType | 字符串 | 包括:
|
TimeStamp | Int | 使用 FILETIME 结构代表事件发生的时间。 |
策略 | 字符串 | 如何将工作数据共享到个人位置:
|
Justification | 字符串 | 未实现。 这始终为空白或 NULL。 注意 保留供将来用于收集从工作变为个人的用户理由。 |
对象 | 字符串 | 共享工作数据的描述。 例如,如果员工使用个人应用打开工作文件,这会是文件路径。 |
DataInfo | 字符串 | 有关工作文件如何更改的任何其他信息:
|
操作 | Int | 提供当工作数据共享到个人时所发生情况的信息,包括:
|
FilePath | 字符串 | 在审核事件中指定的文件的文件路径。 例如,已由员工解密或上传到个人网站的文件的位置。 |
SourceApplicationName | 字符串 | 源应用或网站。 对于源应用,这是 AppLocker 标识。 对于源网站,这是主机名。 |
SourceName | 字符串 | 记录事件的应用提供的字符串。 它旨在描述工作数据的源。 |
DestinationEnterpriseID | 字符串 | 员工共享数据的应用或网站的企业 ID 值。 NULL、 个人或 空白 表示没有企业 ID,因为工作数据已共享到个人位置。 由于我们当前不支持多个注册,因此你始终会看到以下值之一。 |
DestinationApplicationName | 字符串 | 目标应用或网站。 对于目标应用,这是 AppLocker 标识。 对于目标网站,这是主机名。 |
DestinationName | 字符串 | 记录事件的应用提供的字符串。 它用于描述工作数据的目标。 |
应用程序 | 字符串 | 发生审核事件的应用的 AppLocker 标识。 |
示例
下面是来自报告 CSP 的响应的几个示例。
文件的文件所有权从“工作”变为“个人”
<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="com.contoso/2.0/MDM/Reporting">
<User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com">
<Log ProviderType="EDPAudit" LogType="ProtectionRemoved" TimeStamp="131357166318347527">
<Policy>Protection removed</Policy>
<Justification>NULL</Justification>
<FilePath>C:\Users\TestUser\Desktop\tmp\demo\Work document.docx</FilePath>
</Log>
</User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>
工作文件上传到在 Edge 中的个人网页
<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="com.contoso/2.0/MDM/Reporting">
<User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com">
<Log ProviderType="EDPAudit" LogType="DataCopied" TimeStamp="131357192409318534">
<Policy>CopyPaste</Policy>
<Justification>NULL</Justification>
<SourceApplicationName>NULL</SourceApplicationName>
<DestinationEnterpriseID>NULL</DestinationEnterpriseID>
<DestinationApplicationName>mail.contoso.com</DestinationApplicationName>
<DataInfo>C:\Users\TestUser\Desktop\tmp\demo\Work document.docx</DataInfo>
</Log>
</User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>
工作数据粘贴到个人网页
<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="com.contoso/2.0/MDM/Reporting">
<User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com">
<Log ProviderType="EDPAudit" LogType="DataCopied" TimeStamp="131357193734179782">
<Policy>CopyPaste</Policy>
<Justification>NULL</Justification>
<SourceApplicationName>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT OFFICE 2016\WINWORD.EXE\16.0.8027.1000</SourceApplicationName>
<DestinationEnterpriseID>NULL</DestinationEnterpriseID>
<DestinationApplicationName>mail.contoso.com</DestinationApplicationName>
<DataInfo>EnterpriseDataProtectionId|Object Descriptor|Rich Text Format|HTML Format|AnsiText|Text|EnhancedMetafile|Embed Source|Link Source|Link Source Descriptor|ObjectLink|Hyperlink</DataInfo>
</Log>
</User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>
使用个人应用程序打开工作文件
<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="com.contoso/2.0/MDM/Reporting">
<User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com">
<Log ProviderType="EDPAudit" LogType="ApplicationGenerated" TimeStamp="131357194991209469">
<Policy>NULL</Policy>
<Justification></Justification>
<Object>C:\Users\TestUser\Desktop\tmp\demo\Work document.docx</Object>
<Action>1</Action>
<SourceName>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT® WINDOWS® OPERATING SYSTEM\WORDPAD.EXE\10.0.15063.2</SourceName>
<DestinationEnterpriseID>Personal</DestinationEnterpriseID>
<DestinationName>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT® WINDOWS® OPERATING SYSTEM\WORDPAD.EXE\10.0.15063.2</DestinationName>
<Application>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT® WINDOWS® OPERATING SYSTEM\WORDPAD.EXE\10.0.15063.2</Application>
</Log>
</User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>
工作数据粘贴到个人应用程序
<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="com.contoso/2.0/MDM/Reporting">
<User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com">
<Log ProviderType="EDPAudit" LogType="DataCopied" TimeStamp="131357196076537270">
<Policy>CopyPaste</Policy>
<Justification>NULL</Justification>
<SourceApplicationName>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT OFFICE 2016\WINWORD.EXE\16.0.8027.1000</SourceApplicationName>
<DestinationEnterpriseID>NULL</DestinationEnterpriseID>
<DestinationApplicationName></DestinationApplicationName>
<DataInfo>EnterpriseDataProtectionId|Object Descriptor|Rich Text Format|HTML Format|AnsiText|Text|EnhancedMetafile|Embed Source|Link Source|Link Source Descriptor|ObjectLink|Hyperlink</DataInfo>
</Log>
</User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>
使用 Windows 事件转发(仅用于 Windows 已加入域的桌面设备)收集 WIP 审核日志
使用 Windows 事件转发来收集和聚合 Windows 信息保护审核事件。 你可以在事件查看器中查看你的审核事件。
如何在事件查看器中查看 WIP 事件
打开事件查看器。
在应用程序和服务日志\Microsoft\Windows 下的控制台树中,单击 EDP-Audit-Regular 和 EDP-Audit-TCB。
使用 Azure Monitor 收集 WIP 审核日志
可以使用 Azure Monitor 收集审核日志。 请参阅 Azure Monitor 中的 Windows 事件日志数据源。
在 Azure Monitor 中查看 WIP 事件
使用现有或创建新的 Log Analytics 工作区。
在 “Log Analytics>高级设置”中,选择“ 数据”。 在 Windows 事件日志中,添加要接收的日志:
Microsoft-Windows-EDP-Application-Learning/Admin Microsoft-Windows-EDP-Audit-TCB/Admin
注意
如果使用 Windows 事件日志,则可以在“事件”文件夹的“事件属性”下找到事件日志名称, (Application and Services Logs\Microsoft\Windows,单击“EDP-Audit-Regular”和“EDP-Audit-TCB) ”。
下载 Microsoft Monitoring Agent。
若要按 Azure Monitor 一文中所述获取用于Intune安装的 MSI,请提取:
MMASetup-.exe /c /t:
使用工作区 ID 和主密钥将 Microsoft Monitoring Agent 安装到 WIP 设备。 有关工作区 ID 和主键的详细信息,请参阅 Log Analytics>高级设置。
若要通过Intune部署 MSI,请在安装参数中添加:
/q /norestart NOAPM=1 ADD_OPINSIGHTS_WORKSPACE=1 OPINSIGHTS_WORKSPACE_AZURE_CLOUD_TYPE=0 OPINSIGHTS_WORKSPACE_ID=<WORKSPACE_ID> OPINSIGHTS_WORKSPACE_KEY=<WORKSPACE_KEY> AcceptEndUserLicenseAgreement=1
注意
替换 <从> 步骤 5 收到的WORKSPACE_ID <& WORKSPACE_KEY> 。 在安装参数中,不要将>WORKSPACE_ID & <WORKSPACE_KEY>放在<引号 (“”或“”) 中。
部署代理后,将在大约 10 分钟内收到数据。
若要搜索日志,请转到 Log Analytics 工作区>日志,并在搜索中键入 “事件 ”。
例子
Event | where EventLog == "Microsoft-Windows-EDP-Audit-TCB/Admin"
其他资源
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈