Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Use esta información para ayudarle a comprender cómo puede usar el registro de uso para el servicio de cifrado, Azure Rights Management de Microsoft Purview Information Protection. Este servicio de cifrado proporciona protección de datos adicional para los elementos de la organización, como documentos y correos electrónicos, y puede registrar cada solicitud. Estas solicitudes incluyen:
- Cuando los usuarios cifran los elementos para protegerlos y los descifran para leerlos o quitar el cifrado.
- Acciones realizadas por los administradores para administrar el servicio de Azure Rights Management y acciones realizadas por operadores de Microsoft para admitir el servicio.
A continuación, puede usar estos registros de uso para admitir los siguientes escenarios empresariales:
Análisis de conclusiones empresariales
Los registros generados por Azure Rights Management se pueden importar en un repositorio de su elección (como una base de datos, un sistema de procesamiento analítico en línea (OLAP) o un sistema de reducción de mapas) para analizar la información y generar informes. Por ejemplo, podría identificar quién accede a los datos cifrados. Puede determinar a qué datos cifrados acceden los usuarios y desde qué dispositivos y desde dónde. Puede averiguar si las personas pueden leer correctamente el contenido cifrado. También puede identificar qué personas han leído un documento importante cifrado.
Supervisar abuso
El registro de información sobre cómo se usa el servicio de Azure Rights Management está disponible casi en tiempo real, para que pueda supervisar continuamente el uso del servicio por parte de su empresa. El 99,9 % de los registros están disponibles en un plazo de 15 minutos después de una acción iniciada en el servicio.
Por ejemplo, es posible que quiera recibir una alerta si hay un aumento repentino de personas que leen datos cifrados fuera del horario laboral estándar, lo que podría indicar que un usuario malintencionado está recopilando información para venderla a los competidores. O bien, si el mismo usuario aparentemente accede a los datos de dos direcciones IP diferentes en un breve período de tiempo, lo que podría indicar que una cuenta de usuario se ha puesto en peligro.
Realizar análisis forense
Si tiene una fuga de información, es probable que se le pregunte quién ha accedido recientemente a documentos específicos y a qué información accedió recientemente una persona sospechosa. Puede responder a estos tipos de preguntas cuando use Azure Rights Management registro de uso porque las personas que usan contenido cifrado siempre deben obtener una licencia de uso de Rights Management para abrir elementos cifrados por Azure Rights Management, incluso si estos elementos se mueven por correo electrónico o se copian en unidades USB u otros dispositivos de almacenamiento. Esto significa que puede usar estos registros como origen definitivo de información para el análisis forense al proteger los datos mediante el servicio Azure Rights Management.
Opciones de registro adicionales para el servicio Azure Rights Management:
| Opción de registro | Descripción |
|---|---|
| registro de Administración | Registra las tareas administrativas del servicio Azure Rights Management. Por ejemplo, si el servicio está desactivado, cuando la característica superusuario está habilitada y cuando los usuarios tienen permisos de administrador delegados en el servicio. Para obtener más información, vea el cmdlet de PowerShell Get-AipServiceAdminLog. |
| Seguimiento de documentos | Permite a los usuarios realizar un seguimiento y revocar sus documentos que han cifrado con el cliente Microsoft Purview Information Protection. Los administradores globales también pueden realizar un seguimiento de estos documentos en nombre de los usuarios. Para obtener más información, consulte Seguimiento y revocación del acceso a documentos. |
Use las secciones siguientes para obtener más información sobre el registro de uso del servicio Azure Rights Management.
Acceso y uso de los registros de uso de Azure Rights Management
Azure Rights Management registro de uso está habilitado de forma predeterminada para todos los clientes. No hay ningún costo adicional para el almacenamiento de registros ni para la funcionalidad de la característica de registro.
El servicio Azure Rights Management escribe registros como una serie de blobs en una cuenta de almacenamiento de Azure que crea automáticamente para el inquilino. Cada blob contiene uno o varios registros, en formato de registro extendido W3C. Los nombres de blob son números, en el orden en que se crearon. La sección How to interpret your Azure Rights Management usage logs (Cómo interpretar los registros de uso de Azure Rights Management) más adelante en este documento contiene más información sobre el contenido del registro y su creación.
Los registros pueden tardar un tiempo en aparecer en la cuenta de almacenamiento después de una acción de Azure Rights Management. La mayoría de los registros aparecen en 15 minutos. Los registros de uso solo están disponibles cuando el nombre del campo "date" contiene un valor de una fecha anterior (en hora UTC). Los registros de uso de la fecha actual no están disponibles. Se recomienda descargar los registros en el almacenamiento local, como una carpeta local, una base de datos o un repositorio de map-reduce.
Para descargar los registros de uso, use el módulo de PowerShell AIPService para Microsoft Purview Information Protection. Para obtener instrucciones de instalación, consulte Instalación del módulo de PowerShell AIPService para el servicio Azure Right Management.
Para descargar los registros de uso mediante PowerShell
Inicie Windows PowerShell con la opción Ejecutar como administrador y use el cmdlet Connect-AipService para conectarse al servicio Azure Rights Management:
Connect-AipServiceEjecute el siguiente comando para descargar los registros de una fecha específica:
Get-AipServiceUserLog -Path <location> -fordate <date>Por ejemplo, después de crear una carpeta denominada Registros en la unidad E::
Para descargar los registros de una fecha específica (como 2/1/2025), ejecute el siguiente comando:
Get-AipServiceUserLog -Path E:\Logs -fordate 2/1/2025Para descargar los registros de un intervalo de fechas (por ejemplo, del 1/2/2025 al 2/14/2025), ejecute el siguiente comando:
Get-AipServiceUserLog -Path E:\Logs -fromdate 2/1/2025 –todate 2/14/2025
Cuando se especifica solo el día, como en nuestros ejemplos, se supone que la hora es 00:00:00 en la hora local y, a continuación, se convierte a UTC. Cuando se especifica una hora con los parámetros -fromdate o -todate (por ejemplo, -fordate "2/1/2025 15:00:00"), esa fecha y hora se convierten a UTC. A continuación, el comando Get-AipServiceUserLog obtiene los registros de ese período de tiempo UTC.
No se puede especificar menos de un día entero para descargar.
De forma predeterminada, este cmdlet usa tres subprocesos para descargar los registros. Si tiene suficiente ancho de banda de red y quiere reducir el tiempo necesario para descargar los registros, use el parámetro -NumberOfThreads, que admite un valor de 1 a 32. Por ejemplo, si ejecuta el siguiente comando, el cmdlet genera 10 subprocesos para descargar los registros: Get-AipServiceUserLog -Path E:\Logs -fromdate 2/1/2025 –todate 2/14/2025 -numberofthreads 10
Sugerencia
Puede agregar todos los archivos de registro descargados en un formato CSV mediante el Analizador de registros de Microsoft, que es una herramienta para convertir entre varios formatos de registro conocidos. También puede usar esta herramienta para convertir datos al formato SYSLOG o importarlos en una base de datos. Después de instalar la herramienta, ejecute LogParser.exe /? para obtener ayuda e información para usar esta herramienta.
Por ejemplo, puede ejecutar el siguiente comando para importar toda la información en un formato de archivo .log: logparser –i:w3c –o:csv "SELECT * INTO AllLogs.csv FROM *.log"
Interpretación de los registros de uso
Use la siguiente información para ayudarle a interpretar los registros de uso de Azure Rights Management.
Secuencia de registro
El servicio Azure Rights Management escribe los registros como una serie de blobs.
Cada entrada del registro tiene una marca de tiempo UTC. Dado que el servicio se ejecuta en varios servidores en varios centros de datos, a veces los registros pueden parecer estar fuera de secuencia, incluso cuando están ordenados por su marca de tiempo. Sin embargo, la diferencia es pequeña y normalmente en un minuto. En la mayoría de los casos, este no es un problema que sería un problema para el análisis de registros.
El formato de blob
Cada blob está en formato de registro extendido W3C. Comienza con las dos líneas siguientes:
#Software: RMS
#Version: 1.1
La primera línea identifica que se trata de registros de uso de Azure Rights Management. La segunda línea identifica que el resto del blob sigue la especificación de la versión 1.1. Se recomienda que todas las aplicaciones que analicen estos registros comprueben estas dos líneas antes de seguir analizando el resto del blob.
La tercera línea enumera una lista de nombres de campo separados por pestañas:
#Fields: date time row-id request-type user-id result correlation-id content-id owner-email issuer template-id file-name date-published c-info c-ip admin-action acting-as-user
Cada una de las líneas posteriores es un registro. Los valores de los campos están en el mismo orden que la línea anterior y están separados por pestañas. Use la tabla siguiente para interpretar los campos.
| Nombre del campo | Tipo de datos W3C | Descripción | Valor de ejemplo |
|---|---|---|---|
| date | Fecha | Fecha UTC en la que se atendió la solicitud. El origen es el reloj local del servidor que atendió la solicitud. |
2013-06-25 |
| time | Hora | Hora UTC en formato de 24 horas cuando se atendió la solicitud. El origen es el reloj local del servidor que atendió la solicitud. |
21:59:28 |
| row-id | Texto | GUID único para este registro de registro. Si un valor no está presente, use el valor correlation-id para identificar la entrada. Este valor es útil al agregar registros o copiar registros en otro formato. |
1c3fe7a9-d9e0-4654-97b7-14fafa72ea63 |
| request-type | Nombre | Nombre de la API de RMS que se solicitó. | AcquireLicense |
| user-id | Cadena | El usuario que realizó la solicitud. El valor se incluye entre comillas simples. Las llamadas desde una clave de inquilino de Azure Rights Management administrada por usted (BYOK) tienen un valor de ", que también se aplica cuando los tipos de solicitud son anónimos. |
‘joe@contoso.com’ |
| result | Cadena | "Correcto" si la solicitud se atendió correctamente. Tipo de error entre comillas simples si se produjo un error en la solicitud. |
"Éxito" |
| correlation-id | Texto | GUID que es común entre el registro de cliente correspondiente y el registro del servidor para una solicitud determinada. Este valor puede ser útil para ayudar a solucionar problemas de cliente. |
cab52088-8925-4371-be34-4b71a3112356 |
| content-id | Texto | GUID, entre llaves que identifican el contenido cifrado (por ejemplo, un documento). Este campo solo tiene un valor si request-type es AcquireLicense y está en blanco para todos los demás tipos de solicitud. |
{bb4af47b-cfed-4719-831d-71b98191a4f2} |
| owner-email | Cadena | Email dirección del propietario del documento. Este campo está en blanco si el tipo de solicitud es RevokeAccess. |
alice@contoso.com |
| Emisor | Cadena | Email dirección del emisor del documento. Este campo está en blanco si el tipo de solicitud es RevokeAccess. |
alice@contoso.com (o) FederatedEmail.4c1f4d-93bf-00a95fa1e042@contoso.onmicrosoft.com' |
| template-id | Cadena | Identificador de la plantilla de administración de derechos que se usa para cifrar el documento. Este campo está en blanco si el tipo de solicitud es RevokeAccess. |
{6d9371a6-4e2d-4e97-9a38-202233fed26e} |
| nombre-archivo | Cadena | Nombre de archivo de un documento cifrado al que se realiza el seguimiento mediante el cliente de Microsoft Purview Information Protection. Actualmente, algunos archivos (como documentos de Office) se muestran como GUID en lugar del nombre de archivo real. Este campo está en blanco si el tipo de solicitud es RevokeAccess. |
TopSecretDocument.docx |
| fecha de publicación | Fecha | Fecha en que se cifró el documento. Este campo está en blanco si el tipo de solicitud es RevokeAccess. |
2015-10-15T21:37:00 |
| c-info | Cadena | Información sobre la plataforma cliente que realiza la solicitud. La cadena específica varía en función de la aplicación (por ejemplo, el sistema operativo o el explorador). |
'MSIPC; version=1.0.623.47; AppName=WINWORD.EXE; AppVersion=15.0.4753.1000; AppArch=x86; OSName=Windows; OSVersion=6.1.7601; OSArch=amd64' |
| c-ip | Dirección | Dirección IP del cliente que realiza la solicitud. | 64.51.202.144 |
| admin-action | Bool | Si un administrador ha accedido al sitio de seguimiento de documentos en modo de administrador. | Verdadero |
| actuar como usuario | Cadena | Dirección de correo electrónico del usuario para el que un administrador accede al sitio de seguimiento de documentos. | 'joe@contoso.com' |
Excepciones para el campo user-id
Aunque el campo user-id suele indicar al usuario que realizó la solicitud, hay dos excepciones en las que el valor no se asigna a un usuario real:
Valor 'microsoftrmsonline@<YourTenantID.rms>.<region.aadrm.com>'.
Esto indica que un servicio de Microsoft 365, como Exchange o SharePoint, realiza la solicitud. En la cadena, <YourTenantID> es el GUID del inquilino y <la región> es la región donde está registrado el inquilino. Por ejemplo, na representa Norteamérica, eu representa Europa y ap representa Asia.
Si usa el conector rights management.
Las solicitudes de este conector se registran con el nombre principal de servicio de Aadrm_S-1-7-0, que se genera automáticamente al instalar el conector de Rights Management.
Tipos de solicitud típicos
Hay muchos tipos de solicitud para el servicio de Azure Rights Management, pero en la tabla siguiente se identifican algunos de los tipos de solicitud más usados.
| Tipo de solicitud | Descripción |
|---|---|
| AcquireLicense | Un cliente de un equipo basado en Windows solicita una licencia de uso para el contenido cifrado. |
| AcquirePreLicense | Un cliente, en nombre del usuario, solicita una licencia de uso para el contenido cifrado. |
| AcquireTemplates | Se ha realizado una llamada para adquirir plantillas de administración de derechos basadas en identificadores de plantilla. |
| AcquireTemplateInformation | Se ha realizado una llamada para obtener los identificadores de la plantilla de administración de derechos del servicio. |
| AddTemplate | Se realiza una llamada desde un portal de administración para agregar una plantilla de administración de derechos. |
| AllDocsCsv | Se realiza una llamada desde el sitio de seguimiento de documentos para descargar el archivo CSV de la página Todos los documentos . |
| BECreateEndUserLicenseV1 | Se realiza una llamada desde un dispositivo móvil para crear una licencia de usuario final. |
| BEGetAllTemplatesV1 | Se realiza una llamada desde un dispositivo móvil (back-end) para obtener todas las plantillas de administración de derechos. |
| Certificar | El cliente certifica al usuario para el consumo y la creación de contenido cifrado. |
| FECreateEndUserLicenseV1 | Similar a la solicitud AcquireLicense, pero desde dispositivos móviles. |
| FECreatePublishingLicenseV1 | Igual que Certify y GetClientLicensorCert combinados, de clientes móviles. |
| FEGetAllTemplates | Se realiza una llamada desde un dispositivo móvil (front-end) para obtener las plantillas de administración de derechos. |
| FindServiceLocationsForUser | Se realiza una llamada a para consultar las direcciones URL, que se usan para llamar a Certify o AcquireLicense. |
| GetClientLicensorCert | El cliente solicita un certificado de publicación (que se usará más adelante para cifrar el contenido) desde un equipo basado en Windows. |
| GetConfiguration | Se llama a un cmdlet de PowerShell para obtener la configuración del inquilino para el servicio Azure Rights Management. |
| GetConnectorAuthorizations | Se realiza una llamada desde los conectores de Rights Management para obtener su configuración desde la nube. |
| GetRecipients | Se realiza una llamada desde el sitio de seguimiento de documentos para navegar a la vista de lista de un solo documento. |
| GetTenantFunctionalState | Un portal de administración comprueba si el servicio de Azure Rights Management está activado. |
| KeyVaultDecryptRequest | El cliente está intentando descifrar el contenido cifrado de Rights Management. Solo se aplica a una clave de inquilino administrada por el cliente (BYOK) en Azure Key Vault. |
| KeyVaultGetKeyInfoRequest | Se realiza una llamada para comprobar que la clave especificada para usarse en Azure Key Vault para la clave de inquilino de Azure Rights Management es accesible y no ya se usa. |
| KeyVaultSignDigest | Se realiza una llamada cuando se usa una clave administrada por el cliente (BYOK) en Azure Key Vault con fines de firma. Esto se llama normalmente una vez por AcquireLicence (o FECreateEndUserLicenseV1), Certify y GetClientLicensorCert (o FECreatePublishingLicenseV1). |
| KMSPDecrypt | El cliente está intentando descifrar el contenido cifrado de Rights Management. Solo se aplica a una clave de inquilino administrada por el cliente (BYOK) heredada. |
| KMSPSignDigest | Se realiza una llamada cuando se usa una clave administrada por el cliente (BYOK) heredada con fines de firma. Esto se llama normalmente una vez por AcquireLicence (o FECreateEndUserLicenseV1), Certify y GetClientLicensorCert (o FECreatePublishingLicenseV1). |
| ServerCertify | Se realiza una llamada desde un cliente habilitado para Rights Management (como SharePoint) para certificar el servidor. |
| SetUsageLogFeatureState | Se realiza una llamada para habilitar el registro de uso. |
| SetUsageLogStorageAccount | Se realiza una llamada para especificar la ubicación de los registros de servicio de Azure Rights Management. |
| UpdateTemplate | Se realiza una llamada desde un portal de administración para actualizar una plantilla de administración de derechos existente. |
registros de uso de Azure Rights Management y auditoría de Microsoft Purview
El acceso a archivos y los eventos denegados no incluyen el nombre de archivo y no son accesibles en el registro de auditoría unificado de Microsoft Purview.
Referencia de PowerShell
Después de conectarse al servicio Azure Rights Management, el único cmdlet de PowerShell que necesita para acceder a la Azure Rights Management registro de uso es Get-AipServiceUserLog.
Para obtener más información sobre el uso de PowerShell para el servicio Azure Rights Management, consulte Administración del servicio Azure Rights Management mediante PowerShell.