記錄和分析來自 Azure 資訊保護的保護使用量

注意

您是否正在尋找先前Microsoft 資訊保護 ( MIP) Microsoft Purview 資訊保護?

Azure 資訊保護統一標籤用戶端現在處於維護模式。 建議您使用內建在Office 365應用程式和服務的標籤。 瞭解更多資訊

使用這項資訊可協助您瞭解如何從 Azure 資訊保護 使用保護服務 (Azure Rights Management) 的使用方式記錄。 此保護服務會為貴組織的檔和電子郵件提供資料保護,並可記錄每個要求。 這些要求包括使用者保護文件和電子郵件及取用此內容的動作、系統管理員針對此服務所執行的動作,以及 Microsoft 操作人員為了支援 Azure 資訊保護部署所執行的動作。

接著,您可以使用這些保護使用量記錄來支援下列商務案例:

  • 分析商業見解

    保護服務所產生的記錄可以匯入您選擇的存放庫 (,例如資料庫、線上分析處理 (OLAP) 系統,或地圖縮減系統) 來分析資訊並產生報告。 例如,您可以識別誰在存取保護的資料。 您可以判斷使用者存取保護的哪些資料,以及從什麼裝置和從哪裡存取。 您可以查明使用者是否可順利讀取受保護的內容。 您也可以識別哪些使用者已讀取受保護的重要文件。

  • 監督濫用情形

    保護用途的記錄資訊幾乎即時可供您使用,以便持續監視公司的保護服務使用情形。 99.9% 的記錄會在服務起始動作之後的 15 分鐘內產生。

    例如,當正常工作時段外突然有許多使用者讀取保護的資料,您可能希望獲得警示,這可能表示有惡意使用者正在收集資訊來販售給競爭對手。 或者,同一個使用者很明顯在極短的時間內從兩個不同的 IP 位址存取資料,這可能表示使用者帳戶已被盜用。

  • 執行蒐證分析

    如果發生資訊外洩,您可能會被問及誰最近存取特定的文件,以及可疑人士最近存取什麼資訊。 當您使用此記錄時,您可以回答這些類型的問題,因為使用受保護內容的人員必須一律取得 Rights Management 授權,才能開啟受 Azure 資訊保護保護的檔和圖片,即使這些檔案是由電子郵件移動或複製到 USB 磁片磁碟機或其他儲存裝置也一樣。 這表示當您使用 Azure 資訊保護保護資料時,可以使用這些記錄作為鑒識分析的明確資訊來源。

除了此使用情況記錄之外,您也會有下列記錄選項:

記錄選項 描述
系統管理記錄檔 記錄保護服務的系統管理工作。 例如,若服務已停用,當啟用進階使用者功能時,以及當委派使用者服務的系統管理員權限時。

如需詳細資訊,請參閱 PowerShell Cmdlet Get-AipServiceAdminLog
文件追蹤 讓使用者可以追蹤和撤銷以 Azure 資訊保護用戶端來追蹤的文件。 全域管理員也可以代表使用者來追蹤這些文件。

如需詳細資訊,請參閱設定並使用 Azure 資訊保護的文件追蹤
用戶端事件記錄檔 Azure 資訊保護用戶端的使用活動,會記錄在本機 Windows「應用程式和服務」事件記錄檔:「Azure 資訊保護」

如需詳細資訊,請參閱Azure 資訊保護用戶端的使用情況記錄
用戶端記錄檔 Azure 資訊保護用戶端的疑難排解記錄檔,位於 %localappdata%\Microsoft\MSIP

這些檔案是專供 Microsoft 支援服務之用。

此外,系統會從 Azure 資訊保護用戶端使用狀況記錄和 Azure 資訊保護掃描器收集資訊,並彙總以在 Azure 入口網站中建立報告。 如需詳細資訊,請參閱 Azure 資訊保護回報

如需保護服務使用方式記錄的詳細資訊,請使用下列各節。

如何啟用保護使用方式的記錄

預設會為所有客戶啟用保護使用量記錄。

記錄儲存體或記錄功能不需要額外成本。

如何存取及使用您的保護使用量記錄

Azure 資訊保護會將記錄作為一系列 Blob 寫入 Azure 儲存體帳戶,而該帳戶會自動為您的租使用者建立。 每一個 Blob 包含一或多筆記錄 (W3C 擴充記錄格式)。 Blob 名稱是依建立順序排列的數字。 本文稍後的如何解讀 Azure Rights Management 使用量記錄一節包含記錄內容及其建立方式的詳細資訊。

在保護動作之後,記錄可能需要一段時間才會出現在儲存體帳戶中。 大多數記錄會在 15 分鐘內出現。 只有在 「date」 功能變數名稱包含前一個日期的值, (UTC 時間) 時,才能使用使用量記錄。 目前日期的使用量記錄無法使用。 建議您將記錄下載到本機儲存體,例如本機資料夾、資料庫或 map-reduce 儲存機制。

若要下載使用量記錄,您將使用適用于 Azure 資訊保護的 AIPService PowerShell 模組。 如需安裝指示,請參閱 安裝 AIPService PowerShell 模組

使用 PowerShell 下載使用情況記錄

  1. 使用 [以系統管理員身分執行]選項啟動Windows PowerShell,並使用Connect-AipService Cmdlet 連線到 Azure 資訊保護:

    Connect-AipService
    
  2. 執行以下命令,下載特定日期的記錄:

    Get-AipServiceUserLog -Path <location> -fordate <date>
    

    例如,在您的 E 磁碟機上建立一個名為 [記錄] 的資料夾:

    • 若要下載特定日期 (例如 2016/2/1) 的記錄,請執行下列命令:Get-AipServiceUserLog -Path E:\Logs -fordate 2/1/2016

    • 若要下載某個日期範圍 (例如從 2016/2/1 到 2016/2/14) 內的記錄,請執行下列命令:Get-AipServiceUserLog -Path E:\Logs -fromdate 2/1/2016 –todate 2/14/2016

當您只指定一天,如同我們的範例,時間會假設為您的當地時間的 00:00:00,然後轉換為 UTC。 當您以 -fromdate 或 -todate 參數指定時間時 (例如,-fordate "2/1/2016 15:00:00"),該日期和時間會轉換為 UTC。 Get-AipServiceUserLog命令接著會取得該 UTC 時間週期的記錄。

您不能指定要下載少於一整天的時間。

預設情況下,此 Cmdlet 使用三個執行緒來下載記錄。 如果您有足夠的網路頻寬,並且想要減少下載記錄所需的時間,使用 -NumberOfThreads 參數,該參數支援從 1 到 32 的值。 例如,若您執行下列命令,Cmdlet 會產生 10 個執行緒來下載記錄:Get-AipServiceUserLog -Path E:\Logs -fromdate 2/1/2016 –todate 2/14/2016 -numberofthreads 10

秘訣

您可以使用 Microsoft 的記錄檔剖析器 (這是用來在各種已知的記錄檔格式之間轉換的工具),將您的所有已下載記錄檔彙總為 CSV 格式。 您也可以利用此工具將資料轉換成 SYSLOG 格式,或匯入到資料庫中。 安裝此工具之後,請執行 LogParser.exe /?,以取得使用此工具的說明和資訊。

例如,您可以執行下列命令,將所有資訊匯入 .log 檔案格式:logparser –i:w3c –o:csv "SELECT * INTO AllLogs.csv FROM *.log"

如何解譯您的使用量記錄

使用下列資訊來協助您解譯保護使用記錄。

記錄順序

Azure 資訊保護會將記錄寫入為一系列 Blob。

記錄中的每個項目都有一個 UTC 時間戳記。 由於保護服務會在多個資料中心的多部伺服器上執行,因此記錄有時似乎順序不正確,即使記錄依時間戳記排序也一樣。 不過,差異很小,通常只在一分鐘內。 在大部分情況下,這不會對記錄分析造成問題。

Blob 格式

每一個 Blob 都是 W3C 擴充記錄格式。 開頭為下列兩行:

#Software:RMS

#Version:1.1

第一行會識別這些是來自 Azure 資訊保護的保護記錄。 第二行識別 Blob 的其餘部分都遵循 1.1 版規格。 建議任何可剖析這些記錄的應用程式在繼續剖析 Blob 的其餘部分之前,先驗證這兩行。

第三行列舉以 Tab 鍵分隔的欄位名稱清單:

#Fields:日期時間資料列識別碼要求類型 user-id result correlation-id content-id owner-email issuer template-id file-name date-published c-info c-ip admin-action as-user

後續每一行都是記錄。 欄位的值與前一行的順序相同,以 Tab 鍵隔開。 請使用下表來解讀欄位。

欄位名稱 W3C 資料類型 描述 範例值
date Date 處理要求時的 UTC 日期。

來源是處理要求的伺服器的本機時鐘。
2013-06-25
time Time 處理要求的 UTC 時間 (24 小時制)。

來源是處理要求的伺服器的本機時鐘。
21:59:28
row-id Text 此記錄的唯一 GUID。 如果值不存在,請使用 correlation-id 值來識別項目。

將記錄彙總或將記錄複製成另一種格式時,此值很有用。
1c3fe7a9-d9e0-4654-97b7-14fafa72ea63
request-type 名稱 要求的 RMS API 的名稱。 AcquireLicense
user-id String 提出要求的使用者。

值以單引號括住。 如果呼叫是來自您管理的租用戶金鑰 (BYOK),則該呼叫具有 " 值;當要求類型為匿名時也適用此情況。
‘joe@contoso.com’
result String 'Success' 表示成功處理要求。

要求失敗時以單引號括住的錯誤類型。
「成功」
correlation-id Text 某個特定要求在 RMS 用戶端記錄和伺服器記錄之間的共同 GUID。

對用戶端問題進行疑難排解時,此值很有用。
cab52088-8925-4371-be34-4b71a3112356
content-id Text 識別受保護內容 (例如文件) 的 GUID (以大括孤括住)。

只有當 request-type 是 AcquireLicense 時,此欄位才有值,至於其他所有要求類型,此欄位會空白。
{bb4af47b-cfed-4719-831d-71b98191a4f2}
owner-email String 文件擁有者的電子郵件地址。

如果要求類型為 RevokeAccess,則此欄位為空白。
alice@contoso.com
發行 String 文件簽發者的電子郵件地址。

如果要求類型為 RevokeAccess,則此欄位為空白。
alice@contoso.com (或) FederatedEmail.4c1f4d-93bf-00a95fa1e042@contoso.onmicrosoft.com'
template-id String 用來保護文件的範本 ID。

如果要求類型為 RevokeAccess,則此欄位為空白。
{6d9371a6-4e2d-4e97-9a38-202233fed26e}
file-name String 使用適用於 Windows 的 Azure 資訊保護用戶端來追蹤的受保護文件檔案名稱。

目前,某些檔案 (例如 Office 文件) 顯示為 GUID,而不是實際檔案名稱。

如果要求類型為 RevokeAccess,則此欄位為空白。
TopSecretDocument.docx
date-published Date 文件受保護的日期。

如果要求類型為 RevokeAccess,則此欄位為空白。
2015-10-15T21:37:00
c-info String 提出要求的用戶端平台的相關資訊。

具體字串隨著應用程式而不同 (例如,作業系統或瀏覽器)。
'MSIPC;version=1.0.623.47;AppName=WINWORD.EXE;AppVersion=15.0.4753.1000;AppArch=x86;OSName=Windows;OSVersion=6.1.7601;OSArch=amd64'
c-ip 位址 提出要求的用戶端的 IP 位址。 64.51.202.144
admin-action Bool 系統管理員是否以系統管理員模式存取文件追蹤網站。
acting-as-user String 系統管理員正在用來存取文件追蹤網站之使用者的電子郵件地址。 'joe@contoso.com'

user-id 欄位的例外狀況

雖然 user-id 欄位通常指出提出要求的使用者,但有兩種例外狀況,值不會對應至真正的使用者:

  • 'microsoftrmsonline@<YourTenantID>.rms.<region>.aadrm.com'

    這表示Office 365服務,例如 Exchange Online 或 Microsoft SharePoint,正在提出要求。 在字串中,< YourTenantID >是您租使用者的 GUID,< 而區域 >是租使用者註冊的區域。 例如,na 代表北美洲、eu 代表歐洲,ap 代表亞洲。

  • 如果您使用 RMS 連接器,

    會以服務主體名稱 Aadrm_S-1-7-0 (此名稱會在安裝 RMS 連接器時自動產生) 來記錄來自此連接器的要求。

一般要求類型

保護服務有許多要求類型,但下表會識別一些最常使用的要求類型。

要求類型 描述
AcquireLicense Windows 電腦中的用戶端正在要求受保護內容的授權。
AcquirePreLicense 用戶端代表使用者要求受保護內容的授權。
AcquireTemplates 進行呼叫,以取得根據範本 ID 的範本。
AcquireTemplateInformation 進行呼叫,以從服務取得範本的 ID。
AddTemplate 從Azure 入口網站呼叫以新增範本。
AllDocsCsv 從文件追蹤網站進行呼叫,從 [所有文件] 頁面下載 CSV 檔案。
BECreateEndUserLicenseV1 從行動裝置撥打電話以建立使用者授權。
BEGetAllTemplatesV1 從行動裝置 (後端) 呼叫,以取得所有範本。
Certify 用戶端正在認證使用者,使其可取用和建立受保護的內容。
FECreateEndUserLicenseV1 類似於 AcquireLicense 要求,來自於行動裝置。
FECreatePublishingLicenseV1 與 Certify 結合 GetClientLicensorCert 相同,來自行動用戶端。
FEGetAllTemplates 從行動裝置 (前端) 呼叫以取得範本。
FindServiceLocationsForUser 進行呼叫以查詢 URL,用呼叫 Certify 或 AcquireLicense。
GetClientLicensorCert 用戶端從 Windows 電腦要求發佈憑證 (稍後用來保護內容)
GetConfiguration 呼叫 Azure PowerShell Cmdlet,以取得 Azure RMS 租用戶的組態。
GetConnectorAuthorizations 從 RMS 連接器進行呼叫,以從雲端取得其設定。
GetRecipients 從文件追蹤網站進行呼叫,為單一文件的瀏覽至清單檢視。
GetTenantFunctionalState Azure 入口網站正在檢查是否已啟動 Azure Rights Management (保護服務) 。
KeyVaultDecryptRequest 用戶端嘗試解密 RMS 保護的內容。 只適用於 Azure 金鑰保存庫中客戶管理的租用戶金鑰 (BYOK)。
KeyVaultGetKeyInfoRequest 進行呼叫,以驗證替 Azure Information Protection 租用戶金鑰指定要在 Azure 金鑰保存庫中使用的金鑰可存取且尚未使用。
KeyVaultSignDigest 當因為簽章目的而使用 Azure 金鑰保存庫中的客戶管理的租用戶金鑰 (BYOK) 時,進行呼叫。 通常每個 AcquireLicence (或 FECreateEndUserLicenseV1)、Certify 及 GetClientLicensorCert (或 FECreatePublishingLicenseV1) 只會呼叫一次。
KMSPDecrypt 用戶端嘗試解密 RMS 保護的內容。 只適用於舊版客戶管理的租用戶金鑰 (BYOK)。
KMSPSignDigest 當因為簽章目的而使用舊版客戶管理的租用戶金鑰 (BYOK) 時,進行呼叫。 通常每個 AcquireLicence (或 FECreateEndUserLicenseV1)、Certify 及 GetClientLicensorCert (或 FECreatePublishingLicenseV1) 只會呼叫一次。
ServerCertify 從啟用 RMS 的用戶端進行呼叫, (例如 SharePoint) 來認證伺服器。
SetUsageLogFeatureState 系統會呼叫 以啟用使用量記錄。
SetUsageLogStorageAccount 呼叫以指定 Azure Rights Management 服務記錄的位置。
UpdateTemplate 從Azure 入口網站呼叫以更新現有的範本。

PowerShell 參考

您唯一需要存取保護使用量記錄的 PowerShell Cmdlet 是 Get-AipServiceUserLog

如需使用 PowerShell for Azure 資訊保護的詳細資訊,請參閱使用 PowerShell 管理來自 Azure 資訊保護的保護