如何收集 Windows 資訊保護 (WIP) 稽核事件記錄檔
適用於:
- Windows 10 版本 1607 和更新版本
Windows 資訊保護 (WIP) 在下列情況下會建立稽核事件︰
如果員工將檔案的檔案擁有權從 \[工作\] 變更為 \[個人\]。
如果資料標示為 \[工作\],但分享到個人的 App 或網頁。 例如,透過複製並貼上、拖放、分享連絡人、上傳至個人網頁,或者您的使用者若授權個人的 App 提供工作檔案的暫時存取權。
如果 App 有自訂稽核事件。
使用 Reporting 設定服務提供者 (CSP) 來收集 WIP 稽核記錄檔
遵循報表設定 服務提供者 (CSP ) 檔所提供的指引,從員工的裝置收集 WIP 稽核記錄。 本主題提供實際稽核事件的相關資訊。
注意
回應中的 \[資料\] 元素包括要求的 XML 編碼格式的稽核記錄檔。
使用者元素和屬性
下表包含 \[使用者\] 元素的所有可用屬性。
| 屬性 | 值類型 | 描述 |
|---|---|---|
| UserID | 字串 | 對應到此稽核報告的使用者安全性識別碼 (SID)。 |
| EnterpriseID | 字串 | 對應到此稽核報告的企業識別碼。 |
記錄檔元素和屬性
下表包含 \[記錄檔\] 元素的所有可用屬性/項目。 回應可包含零 (0) 個或多個 \[記錄檔\] 元素。
| 屬性/項目 | 值類型 | 描述 |
|---|---|---|
| ProviderType | 字串 | 這一律為 EDPAudit。 |
| LogType | 字串 | 包括:
|
| TimeStamp | 整數 | 使用 FILETIME 結構來表示事件發生的時間。 |
| 原則 | 字串 | 工作資料如何分享至個人位置︰
|
| Justification | 字串 | 未實作。 這將始終個保持空白或為 NULL。 注意 保留供未來使用,以收集使用者 Justification 從 \[工作\] 變更為 \[個人\]。 |
| 物件 | 字串 | 共用的工作資料的描述。 例如,如果員工使用個人的應用程式開啟工作檔案,這會是檔案路徑。 |
| DataInfo | 字串 | 任何其他有關工作檔案變更的資訊︰
|
| 動作 | 整數 | 提供工作資料分享至個人時發生的問題的相關資訊,包括︰
|
| FilePath | 字串 | 稽核事件中所指定檔案的檔案路徑。 例如,員工解密或上傳至個人網站的檔案位置。 |
| SourceApplicationName | 字串 | 來源的 App 或網站。 若是來源 App,這會是 AppLocker 身分識別。 若是來源網站,這會是主機名稱。 |
| SourceName | 字串 | 記錄事件的應用程式所提供的字串。 其目的是要描述工作數據的來源。 |
| DestinationEnterpriseID | 字串 | 員工共用資料的 App 或網站的企業識別碼值。 NULL、 個人或 空白 表示沒有企業標識符,因為工作數據已共用至個人位置。 因為我們目前不支援多個註冊,所以您一律會看到其中一個值。 |
| DestinationApplicationName | 字串 | 目的地 App 或網站。 若是目的地 App,這會是 AppLocker 身分識別。 若是目的地網站,這會是主機名稱。 |
| DestinationName | 字串 | 記錄事件的應用程式所提供的字串。 其目的是要描述工作數據的目的地。 |
| 應用程式 | 字串 | 發生稽核事件之 App 的AppLocker 身分識別。 |
範例
以下是從 Reporting CSP 回應的幾個範例。
檔案的檔案擁有權從工作變更為個人
<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="com.contoso/2.0/MDM/Reporting">
<User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com">
<Log ProviderType="EDPAudit" LogType="ProtectionRemoved" TimeStamp="131357166318347527">
<Policy>Protection removed</Policy>
<Justification>NULL</Justification>
<FilePath>C:\Users\TestUser\Desktop\tmp\demo\Work document.docx</FilePath>
</Log>
</User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>
工作檔案在 Edge 中上傳到個人網頁
<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="com.contoso/2.0/MDM/Reporting">
<User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com">
<Log ProviderType="EDPAudit" LogType="DataCopied" TimeStamp="131357192409318534">
<Policy>CopyPaste</Policy>
<Justification>NULL</Justification>
<SourceApplicationName>NULL</SourceApplicationName>
<DestinationEnterpriseID>NULL</DestinationEnterpriseID>
<DestinationApplicationName>mail.contoso.com</DestinationApplicationName>
<DataInfo>C:\Users\TestUser\Desktop\tmp\demo\Work document.docx</DataInfo>
</Log>
</User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>
工作資料被貼到個人網頁
<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="com.contoso/2.0/MDM/Reporting">
<User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com">
<Log ProviderType="EDPAudit" LogType="DataCopied" TimeStamp="131357193734179782">
<Policy>CopyPaste</Policy>
<Justification>NULL</Justification>
<SourceApplicationName>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT OFFICE 2016\WINWORD.EXE\16.0.8027.1000</SourceApplicationName>
<DestinationEnterpriseID>NULL</DestinationEnterpriseID>
<DestinationApplicationName>mail.contoso.com</DestinationApplicationName>
<DataInfo>EnterpriseDataProtectionId|Object Descriptor|Rich Text Format|HTML Format|AnsiText|Text|EnhancedMetafile|Embed Source|Link Source|Link Source Descriptor|ObjectLink|Hyperlink</DataInfo>
</Log>
</User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>
工作檔案使用個人的應用程式開啟
<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="com.contoso/2.0/MDM/Reporting">
<User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com">
<Log ProviderType="EDPAudit" LogType="ApplicationGenerated" TimeStamp="131357194991209469">
<Policy>NULL</Policy>
<Justification></Justification>
<Object>C:\Users\TestUser\Desktop\tmp\demo\Work document.docx</Object>
<Action>1</Action>
<SourceName>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT® WINDOWS® OPERATING SYSTEM\WORDPAD.EXE\10.0.15063.2</SourceName>
<DestinationEnterpriseID>Personal</DestinationEnterpriseID>
<DestinationName>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT® WINDOWS® OPERATING SYSTEM\WORDPAD.EXE\10.0.15063.2</DestinationName>
<Application>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT® WINDOWS® OPERATING SYSTEM\WORDPAD.EXE\10.0.15063.2</Application>
</Log>
</User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>
工作資料被貼到個人應用程式
<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="com.contoso/2.0/MDM/Reporting">
<User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com">
<Log ProviderType="EDPAudit" LogType="DataCopied" TimeStamp="131357196076537270">
<Policy>CopyPaste</Policy>
<Justification>NULL</Justification>
<SourceApplicationName>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT OFFICE 2016\WINWORD.EXE\16.0.8027.1000</SourceApplicationName>
<DestinationEnterpriseID>NULL</DestinationEnterpriseID>
<DestinationApplicationName></DestinationApplicationName>
<DataInfo>EnterpriseDataProtectionId|Object Descriptor|Rich Text Format|HTML Format|AnsiText|Text|EnhancedMetafile|Embed Source|Link Source|Link Source Descriptor|ObjectLink|Hyperlink</DataInfo>
</Log>
</User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>
使用 Windows 事件轉送來收集 WIP 稽核記錄檔 (只適用於加入網域的 Windows 桌面裝置)
使用 Windows 事件轉送來收集和匯總您的 Windows 資訊保護 稽核事件。 您可以在事件檢視器中檢視您的稽核事件。
若要在事件檢視器中檢視 WIP 事件
開啟事件檢視器。
在主控台樹狀目錄的 Application and Services Logs\Microsoft\Windows 下,按一下 \[EDP-Audit-Regular\] 和 \[EDP-Audit-TCB]。
使用 Azure 監視器收集 WIP 稽核記錄
您可以使用 Azure 監視器收集稽核記錄。 請參閱 Azure 監視器中的 Windows 事件記錄數據源。
在 Azure 監視器中檢視 WIP 事件
使用現有的 或建立新的Log Analytics工作區。
在 [Log Analytics>進階設定] 中,選取 [ 數據]。 在 Windows 事件記錄檔中,新增要接收的記錄:
Microsoft-Windows-EDP-Application-Learning/Admin Microsoft-Windows-EDP-Audit-TCB/Admin注意
如果使用 Windows 事件記錄檔,可以在 [應用程式和服務記錄檔\Microsoft\Windows] ([事件] 資料夾的 [事件屬性] 底下找到事件記錄檔名稱,然後按兩下 [EDP-Audit-Regular] 和 [EDP-Audit-TCB) ]。
下載 Microsoft Monitoring Agent。
若要取得如 Azure 監視器文章中所述 Intune 安裝的 MSI,請擷取:
MMASetup-.exe /c /t:使用工作區標識碼和主要密鑰,將 Microsoft Monitoring Agent 安裝到 WIP 裝置。 如需工作區標識碼和主要密鑰的詳細資訊,請參閱 Log Analytics>進階設定。
若要透過 Intune 部署 MSI,請在安裝參數中新增:
/q /norestart NOAPM=1 ADD_OPINSIGHTS_WORKSPACE=1 OPINSIGHTS_WORKSPACE_AZURE_CLOUD_TYPE=0 OPINSIGHTS_WORKSPACE_ID=<WORKSPACE_ID> OPINSIGHTS_WORKSPACE_KEY=<WORKSPACE_KEY> AcceptEndUserLicenseAgreement=1注意
取代 <從> 步驟 5 收到WORKSPACE_ID <& WORKSPACE_KEY> 。 在安裝參數中,請勿將WORKSPACE_ID> & <WORKSPACE_KEY>放在<引號 (“” 或 '') 中。
部署代理程式之後,大約會在10分鐘內收到數據。
若要搜尋記錄,請移至 Log Analytics 工作區>記錄,並在搜尋中輸入 事件 。
例子
Event | where EventLog == "Microsoft-Windows-EDP-Audit-TCB/Admin"
其他資源
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應