Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Verwenden Sie diese Informationen, um zu verstehen, wie Sie die Verwendungsprotokollierung für den Verschlüsselungsdienst Azure Rights Management von Microsoft Purview Information Protection verwenden können. Dieser Verschlüsselungsdienst bietet zusätzlichen Datenschutz für Die Elemente Ihrer organization wie Dokumente und E-Mails und kann jede Anforderung protokollieren. Zu diesen Anforderungen gehören:
- Wenn Benutzer Elemente verschlüsseln, um sie zu schützen, und entschlüsseln, um sie zu lesen oder die Verschlüsselung zu entfernen.
- Aktionen, die von Ihren Administratoren ausgeführt werden, um den Azure Rights Management-Dienst zu verwalten, und Aktionen, die von Microsoft-Operatoren zur Unterstützung des Diensts ausgeführt werden.
Anschließend können Sie diese Verwendungsprotokolle verwenden, um die folgenden Geschäftsszenarien zu unterstützen:
Analysieren für geschäftliche Erkenntnisse
Die von Azure Rights Management generierten Protokolle können in ein Repository Ihrer Wahl (z. B. eine Datenbank, ein OLAP-System (Online Analytical Processing) oder ein Map-Reduce-System importiert werden, um die Informationen zu analysieren und Berichte zu erstellen. Als Beispiel könnten Sie ermitteln, wer auf Ihre verschlüsselten Daten zugreift. Sie können bestimmen, auf welche verschlüsselten Daten Personen zugreifen und von welchen Geräten und von wo aus. Sie können herausfinden, ob Personen verschlüsselte Inhalte erfolgreich lesen können. Sie können auch ermitteln, welche Personen ein wichtiges Verschlüsseltes Dokument gelesen haben.
um auf Updates zu prüfen
Protokollierungsinformationen zur Verwendung des Azure Rights Management-Diensts stehen Ihnen nahezu in Echtzeit zur Verfügung, sodass Sie die Nutzung des Diensts durch Ihr Unternehmen kontinuierlich überwachen können. 99,9 % der Protokolle sind innerhalb von 15 Minuten nach einer initiierten Aktion für den Dienst verfügbar.
Sie können z. B. benachrichtigt werden, wenn es einen plötzlichen Anstieg von Personen gibt, die verschlüsselte Daten außerhalb der Standardarbeitszeit lesen, was darauf hindeuten könnte, dass ein böswilliger Benutzer Informationen sammelt, um sie an Wettbewerber zu verkaufen. Oder, wenn derselbe Benutzer anscheinend innerhalb eines kurzen Zeitraums von zwei verschiedenen IP-Adressen auf Daten zugreift, könnte dies darauf hindeuten, dass ein Benutzerkonto kompromittiert wurde.
um forensische Analysen durchzuführen
Wenn Sie ein Informationsleck haben, werden Sie wahrscheinlich gefragt, wer kürzlich auf bestimmte Dokumente zugegriffen hat und auf welche Informationen eine verdächtigte Person kürzlich zugegriffen hat. Sie können diese Arten von Fragen beantworten, wenn Sie die Azure Rights Management-Nutzungsprotokollierung verwenden, da Personen, die verschlüsselte Inhalte verwenden, immer eine Rights Management-Nutzungslizenz zum Öffnen von Elementen erhalten müssen, die von Azure Rights Management verschlüsselt werden, auch wenn diese Elemente per E-Mail verschoben oder auf USB-Laufwerke oder andere Speichergeräte kopiert werden. Dies bedeutet, dass Sie diese Protokolle als endgültige Informationsquelle für die forensische Analyse verwenden können, wenn Sie Ihre Daten mithilfe des Azure Rights Management-Diensts schützen.
Zusätzliche Protokollierungsoptionen für den Azure Rights Management-Dienst:
| Protokollierungsoption | Beschreibung |
|---|---|
| Admin Protokoll | Protokolliert administrative Aufgaben für den Azure Rights Management-Dienst. Beispielsweise, wenn der Dienst deaktiviert ist, wenn das Superuserfeature aktiviert ist und Wenn Benutzern Administratorberechtigungen für den Dienst delegiert werden. Weitere Informationen finden Sie unter dem PowerShell-Cmdlet Get-AipServiceAdminLog. |
| Dokumentnachverfolgung | Ermöglicht Benutzern das Nachverfolgen und Widerrufen ihrer Dokumente, die sie mit dem Microsoft Purview Information Protection Client verschlüsselt haben. Globale Administratoren können diese Dokumente auch im Namen von Benutzern nachverfolgen. Weitere Informationen finden Sie unter Nachverfolgen und Widerrufen des Dokumentzugriffs. |
In den folgenden Abschnitten erfahren Sie mehr über die Verwendungsprotokollierung für den Azure Rights Management-Dienst.
Zugreifen auf und Verwenden Ihrer Azure Rights Management-Nutzungsprotokolle
Die Azure Rights Management-Nutzungsprotokollierung ist standardmäßig für alle Kunden aktiviert. Es fallen keine zusätzlichen Kosten für den Protokollspeicher oder die Protokollierungsfunktion an.
Der Azure Rights Management-Dienst schreibt Protokolle als eine Reihe von Blobs in ein Azure-Speicherkonto, das automatisch für Ihren Mandanten erstellt wird. Jedes Blob enthält einen oder mehrere Protokolldatensätze im erweiterten W3C-Protokollformat. Die Blobnamen sind Zahlen in der Reihenfolge, in der sie erstellt wurden. Der Abschnitt Interpretieren Ihrer Azure Rights Management-Nutzungsprotokolle weiter unten in diesem Dokument enthält weitere Informationen zum Protokollinhalt und deren Erstellung.
Es kann eine Weile dauern, bis Protokolle nach einer Azure Rights Management-Aktion in Ihrem Speicherkonto angezeigt werden. Die meisten Protokolle werden innerhalb von 15 Minuten angezeigt. Verwendungsprotokolle sind nur verfügbar, wenn der Feldname "date" den Wert eines vorherigen Datums (in UTC-Zeit) enthält. Nutzungsprotokolle ab dem aktuellen Datum sind nicht verfügbar. Es wird empfohlen, die Protokolle in den lokalen Speicher herunterzuladen, z. B. in einen lokalen Ordner, eine Datenbank oder ein Map-Reduce-Repository.
Zum Herunterladen Ihrer Nutzungsprotokolle verwenden Sie das PowerShell-Modul AIPService für Microsoft Purview Information Protection. Installationsanweisungen finden Sie unter Installieren des PowerShell-Moduls AIPService für den Azure Right Management-Dienst.
So laden Sie Ihre Nutzungsprotokolle mithilfe von PowerShell herunter
Starten Sie Windows PowerShell mit der Option Als Administrator ausführen, und verwenden Sie das Cmdlet Connect-AipService, um eine Verbindung mit dem Azure Rights Management-Dienst herzustellen:
Connect-AipServiceFühren Sie den folgenden Befehl aus, um die Protokolle für ein bestimmtes Datum herunterzuladen:
Get-AipServiceUserLog -Path <location> -fordate <date>Nach dem Erstellen eines Ordners mit dem Namen Logs auf Laufwerk E:
Führen Sie den folgenden Befehl aus, um Protokolle für ein bestimmtes Datum (z. B. den 01.02.2025) herunterzuladen:
Get-AipServiceUserLog -Path E:\Logs -fordate 2/1/2025Führen Sie den folgenden Befehl aus, um Protokolle für einen Datumsbereich (z. B. vom 01.02.2025 bis zum 14.02.2025) herunterzuladen:
Get-AipServiceUserLog -Path E:\Logs -fromdate 2/1/2025 –todate 2/14/2025
Wenn Sie wie in unseren Beispielen nur den Tag angeben, wird davon ausgegangen, dass die Uhrzeit 00:00:00 in Ihrer Ortszeit ist und dann in UTC konvertiert wird. Wenn Sie eine Uhrzeit mit den Parametern -fromdate oder -todate angeben (z. B. -fordate "1.02.2025 15:00:00"), werden datum und uhrzeit in UTC konvertiert. Der befehl Get-AipServiceUserLog ruft dann die Protokolle für diesen UTC-Zeitraum ab.
Sie können nicht weniger als einen ganzen Tag zum Herunterladen angeben.
Standardmäßig verwendet dieses Cmdlet drei Threads, um die Protokolle herunterzuladen. Wenn Sie über ausreichende Netzwerkbandbreite verfügen und die zum Herunterladen der Protokolle erforderliche Zeit verkürzen möchten, verwenden Sie den Parameter -NumberOfThreads, der einen Wert von 1 bis 32 unterstützt. Wenn Sie beispielsweise den folgenden Befehl ausführen, erzeugt das Cmdlet 10 Threads zum Herunterladen der Protokolle: Get-AipServiceUserLog -Path E:\Logs -fromdate 2/1/2025 –todate 2/14/2025 -numberofthreads 10
Tipp
Sie können alle heruntergeladenen Protokolldateien in einem CSV-Format aggregieren, indem Sie den Protokollparser von Microsoft verwenden, ein Tool zum Konvertieren zwischen verschiedenen bekannten Protokollformaten. Sie können dieses Tool auch verwenden, um Daten in das SYSLOG-Format zu konvertieren oder in eine Datenbank zu importieren. Nachdem Sie das Tool installiert haben, führen Sie aus LogParser.exe /? , um Hilfe und Informationen zur Verwendung dieses Tools zu erhalten.
Sie können beispielsweise den folgenden Befehl ausführen, um alle Informationen in ein .log Dateiformat zu importieren: logparser –i:w3c –o:csv "SELECT * INTO AllLogs.csv FROM *.log"
So interpretieren Sie Ihre Nutzungsprotokolle
Verwenden Sie die folgenden Informationen, um die Azure Rights Management-Nutzungsprotokolle zu interpretieren.
Die Protokollsequenz
Der Azure Rights Management-Dienst schreibt die Protokolle als eine Reihe von Blobs.
Jeder Eintrag im Protokoll weist einen UTC-Zeitstempel auf. Da der Dienst auf mehreren Servern in mehreren Rechenzentren ausgeführt wird, scheinen die Protokolle manchmal nicht in der Reihenfolge zu sein, selbst wenn sie nach ihrem Zeitstempel sortiert sind. Der Unterschied ist jedoch gering und in der Regel innerhalb einer Minute. In den meisten Fällen ist dies kein Problem, das für die Protokollanalyse ein Problem wäre.
Das Blobformat
Jedes Blob weist das erweiterte W3C-Protokollformat auf. Es beginnt mit den folgenden zwei Zeilen:
#Software: RMS
#Version: 1.1
Die erste Zeile gibt an, dass es sich hierbei um Nutzungsprotokolle von Azure Rights Management handelt. Die zweite Zeile gibt an, dass der Rest des Blobs der Spezifikation der Version 1.1 entspricht. Es wird empfohlen, dass alle Anwendungen, die diese Protokolle analysieren, diese beiden Zeilen überprüfen, bevor sie mit der Analyse des restlichen Blobs fortfahren.
Die dritte Zeile listet eine Liste von Feldnamen auf, die durch Registerkarten getrennt sind:
#Fields: Datum Uhrzeit Zeilen-ID Anforderungstyp Benutzer-ID Ergebnis Korrelations-ID Content-ID Besitzer-E-Mail-Aussteller Vorlage-ID Dateiname Datum-Veröffentlicht c-info c-ip admin-action acting-as-user
Jede der nachfolgenden Zeilen ist ein Protokolldatensatz. Die Werte der Felder weisen dieselbe Reihenfolge wie die vorherige Zeile auf und sind durch Registerkarten getrennt. Verwenden Sie die folgende Tabelle, um die Felder zu interpretieren.
| Feldname | W3C-Datentyp | Beschreibung | Beispielwert |
|---|---|---|---|
| date | Datum | UTC-Datum, an dem die Anforderung verarbeitet wurde. Die Quelle ist die lokale Uhr auf dem Server, der die Anforderung verarbeitet hat. |
2013-06-25 |
| time | Time | UTC-Zeit im 24-Stunden-Format, als die Anforderung verarbeitet wurde. Die Quelle ist die lokale Uhr auf dem Server, der die Anforderung verarbeitet hat. |
21:59:28 |
| Row-ID | Text | Eindeutige GUID für diesen Protokolldatensatz. Wenn kein Wert vorhanden ist, verwenden Sie den Korrelations-ID-Wert, um den Eintrag zu identifizieren. Dieser Wert ist nützlich, wenn Sie Protokolle aggregieren oder Protokolle in ein anderes Format kopieren. |
1c3fe7a9-d9e0-4654-97b7-14fa72ea63 |
| Anforderungstyp | Name | Name der angeforderten RMS-API. | AcquireLicense |
| user-id | Zeichenfolge | Der Benutzer, der die Anforderung gestellt hat. Der Wert ist in einfache Anführungszeichen eingeschlossen. Aufrufe von einem Azure Rights Management-Mandantenschlüssel, der von Ihnen (BYOK) verwaltet wird, haben den Wert ", der auch gilt, wenn die Anforderungstypen anonym sind. |
‘joe@contoso.com’ |
| result | Zeichenfolge | "Erfolg", wenn die Anforderung erfolgreich verarbeitet wurde. Der Fehlertyp in einfachen Anführungszeichen, wenn bei der Anforderung ein Fehler aufgetreten ist. |
"Erfolg" |
| Korrelations-ID | Text | GUID, die zwischen dem entsprechenden Clientprotokoll und dem Serverprotokoll für eine bestimmte Anforderung gemeinsam ist. Dieser Wert kann hilfreich sein, um Clientprobleme zu beheben. |
cab52088-8925-4371-be34-4b71a3112356 |
| content-id | Text | GUID, in geschweifte Klammern eingeschlossen, die den verschlüsselten Inhalt (z. B. ein Dokument) identifizieren. Dieses Feld weist nur dann einen Wert auf, wenn der Anforderungstyp AcquireLicense und für alle anderen Anforderungstypen leer ist. |
{bb4af47b-cfed-4719-831d-71b98191a4f2} |
| Besitzer-E-Mail | Zeichenfolge | Email Adresse des Besitzers des Dokuments. Dieses Feld ist leer, wenn der Anforderungstyp RevokeAccess lautet. |
alice@contoso.com |
| Emittent | Zeichenfolge | Email Adresse des Dokumentausstellers. Dieses Feld ist leer, wenn der Anforderungstyp RevokeAccess lautet. |
alice@contoso.com oder) FederatedEmail.4c1f4d-93bf-00a95fa1e042@contoso.onmicrosoft.com" |
| template-id | Zeichenfolge | ID der Rights Management-Vorlage, die zum Verschlüsseln des Dokuments verwendet wird. Dieses Feld ist leer, wenn der Anforderungstyp RevokeAccess lautet. |
{6d9371a6-4e2d-4e97-9a38-202233fed26e} |
| Dateiname | Zeichenfolge | Der Dateiname eines verschlüsselten Dokuments, das mithilfe des Microsoft Purview Information Protection-Clients nachverfolgt wird. Derzeit werden einige Dateien (z. B. Office-Dokumente) als GUIDs anstelle des tatsächlichen Dateinamens angezeigt. Dieses Feld ist leer, wenn der Anforderungstyp RevokeAccess lautet. |
TopSecretDocument.docx |
| Veröffentlichungsdatum | Datum | Datum, an dem das Dokument verschlüsselt wurde. Dieses Feld ist leer, wenn der Anforderungstyp RevokeAccess lautet. |
2015-10-15T21:37:00 |
| c-info | Zeichenfolge | Informationen zur Clientplattform, die die Anforderung sendet. Die spezifische Zeichenfolge variiert je nach Anwendung (z. B. Betriebssystem oder Browser). |
"MSIPC; version=1.0.623.47; AppName=WINWORD.EXE; AppVersion=15.0.4753.1000; AppArch=x86; OSName=Windows; OSVersion=6.1.7601; OSArch=amd64' |
| c-ip | Adresse | IP-Adresse des Clients, der die Anforderung sendet. | 64.51.202.144 |
| admin-action | Boolescher Wert | Gibt an, ob ein Administrator im Administratormodus auf die Dokumentnachverfolgungswebsite zugegriffen hat. | Wahr |
| Acting-as-User | Zeichenfolge | Die E-Mail-Adresse des Benutzers, für den ein Administrator auf die Dokumentverfolgungswebsite zugreift. | 'joe@contoso.com' |
Ausnahmen für das Feld "user-id"
Obwohl das Feld user-id normalerweise den Benutzer angibt, der die Anforderung gestellt hat, gibt es zwei Ausnahmen, bei denen der Wert keinem echten Benutzer zugeordnet ist:
Der Wert 'microsoftrmsonline@<YourTenantID.rms>.<region.aadrm.com>".
Dies weist darauf hin, dass ein Microsoft 365-Dienst, z. B. Exchange oder SharePoint, die Anforderung sendet. In der Zeichenfolge <ist YourTenantID> die GUID für Ihren Mandanten, und <region> ist die Region, in der Ihr Mandant registriert ist. Na steht beispielsweise für Nordamerika, eu für Europa und ap für Asien.
Wenn Sie den Rights Management-Connector verwenden.
Anforderungen von diesem Connector werden mit dem Dienstprinzipalnamen Aadrm_S-1-7-0 protokolliert, der automatisch generiert wird, wenn Sie den Rights Management-Connector installieren.
Typische Anforderungstypen
Es gibt viele Anforderungstypen für den Azure Rights Management-Dienst, aber in der folgenden Tabelle sind einige der am häufigsten verwendeten Anforderungstypen aufgeführt.
| Anforderungstyp | Beschreibung |
|---|---|
| AcquireLicense | Ein Client von einem Windows-basierten Computer fordert eine Nutzungslizenz für verschlüsselte Inhalte an. |
| AcquirePreLicense | Ein Client fordert im Namen des Benutzers eine Nutzungslizenz für verschlüsselte Inhalte an. |
| AcquireTemplates | Es wurde ein Aufruf zum Abrufen von Rights Management-Vorlagen basierend auf Vorlagen-IDs durchgeführt. |
| AcquireTemplateInformation | Es wurde ein Aufruf ausgeführt, um die IDs der Rights Management-Vorlage vom Dienst abzurufen. |
| AddTemplate | Über ein Verwaltungsportal wird aufgerufen, um eine Rights Management-Vorlage hinzuzufügen. |
| AllDocsCsv | Es wird von der Dokumentverfolgungswebsite aufgerufen, um die CSV-Datei von der Seite Alle Dokumente herunterzuladen. |
| BECreateEndUserLicenseV1 | Ein Anruf erfolgt über ein mobiles Gerät, um eine Endbenutzerlizenz zu erstellen. |
| BEGetAllTemplatesV1 | Ein Aufruf erfolgt von einem mobilen Gerät (Back-End), um alle Rights Management-Vorlagen abzurufen. |
| Bescheinigen | Der Client zertifiziert den Benutzer für die Nutzung und Erstellung verschlüsselter Inhalte. |
| FECreateEndUserLicenseV1 | Ähnlich wie bei der AcquireLicense-Anforderung, aber von mobilen Geräten. |
| FECreatePublishingLicenseV1 | Identisch mit Certify und GetClientLicensorCert in Kombination von mobilen Clients. |
| FEGetAllTemplates | Es erfolgt ein Anruf von einem mobilen Gerät (Front-End), um die Rights Management-Vorlagen zu erhalten. |
| FindServiceLocationsForUser | Es wird ein Aufruf zum Abfragen von URLs ausgeführt, der zum Aufrufen von Certify oder AcquireLicense verwendet wird. |
| GetClientLicensorCert | Der Client fordert ein Veröffentlichungszertifikat (das später zum Verschlüsseln von Inhalten verwendet wird) von einem Windows-basierten Computer an. |
| GetConfiguration | Ein PowerShell-Cmdlet wird aufgerufen, um die Konfiguration des Mandanten für den Azure Rights Management-Dienst abzurufen. |
| GetConnectorAuthorizations | Von den Rights Management-Connectors wird ein Aufruf ausgeführt, um deren Konfiguration aus der Cloud abzurufen. |
| GetRecipients | Von der Dokumentverfolgungswebsite wird ein Aufruf ausgeführt, um zur Listenansicht für ein einzelnes Dokument zu navigieren. |
| GetTenantFunctionalState | Ein Verwaltungsportal überprüft, ob der Azure Rights Management-Dienst aktiviert ist. |
| KeyVaultDecryptRequest | Der Client versucht, den mit Rights Management verschlüsselten Inhalt zu entschlüsseln. Gilt nur für einen kundenseitig verwalteten Mandantenschlüssel (BYOK) in Azure Key Vault. |
| KeyVaultGetKeyInfoRequest | Es wird ein Aufruf ausgeführt, um zu überprüfen, ob auf den in Azure Key Vault für den Azure Rights Management-Mandantenschlüssel angegebenen Schlüssel zugegriffen werden kann und nicht bereits verwendet wird. |
| KeyVaultSignDigest | Ein Aufruf erfolgt, wenn ein kundenseitig verwalteter Schlüssel (BYOK) in Azure Key Vault zu Signierungszwecken verwendet wird. Dies wird in der Regel einmal pro AcquireLicence (oder FECreateEndUserLicenseV1), Certify und GetClientLicensorCert (oder FECreatePublishingLicenseV1) aufgerufen. |
| KMSPDecrypt | Der Client versucht, den mit Rights Management verschlüsselten Inhalt zu entschlüsseln. Gilt nur für einen älteren kundenseitig verwalteten Mandantenschlüssel (BYOK). |
| KMSPSignDigest | Ein Aufruf erfolgt, wenn ein legacy customer-managed key (BYOK) zu Signierungszwecken verwendet wird. Dies wird in der Regel einmal pro AcquireLicence (oder FECreateEndUserLicenseV1), Certify und GetClientLicensorCert (oder FECreatePublishingLicenseV1) aufgerufen. |
| ServerCertify | Ein Aufruf erfolgt von einem Rights Management-fähigen Client (z. B. SharePoint), um den Server zu zertifizieren. |
| SetUsageLogFeatureState | Es wird ein Aufruf ausgeführt, um die Verwendungsprotokollierung zu aktivieren. |
| SetUsageLogStorageAccount | Es wird ein Aufruf ausgeführt, um den Speicherort der Azure Rights Management-Dienstprotokolle anzugeben. |
| UpdateTemplate | Ein Aufruf erfolgt über ein Verwaltungsportal, um eine vorhandene Rights Management-Vorlage zu aktualisieren. |
Azure Rights Management-Nutzungsprotokolle und Microsoft Purview-Überwachung
Dateizugriffs- und verweigerte Ereignisse enthalten nicht den Dateinamen und sind im einheitlichen Microsoft Purview-Überwachungsprotokoll nicht zugänglich.
PowerShell-Referenz
Nachdem Sie eine Verbindung mit dem Azure Rights Management-Dienst hergestellt haben, ist Get-AipServiceUserLog das einzige PowerShell-Cmdlet, das Sie für den Zugriff auf Ihre Azure Rights Management-Nutzungsprotokollierung benötigen.
Weitere Informationen zur Verwendung von PowerShell für den Azure Rights Management-Dienst finden Sie unter Verwalten des Azure Rights Management-Diensts mithilfe von PowerShell.