이 정보를 사용하여 암호화 서비스, Microsoft Purview Information Protection Azure Rights Management에 대한 사용 현황 로깅을 사용하는 방법을 이해할 수 있습니다. 이 암호화 서비스는 문서 및 이메일과 같은 organization 항목에 대한 추가 데이터 보호를 제공하며 모든 요청을 기록할 수 있습니다. 이러한 요청에는 다음이 포함됩니다.
- 사용자가 항목을 암호화하여 보호할 때 암호를 해독하여 읽거나 암호화를 제거합니다.
- 관리자가 Azure Rights Management 서비스를 관리하기 위해 수행한 작업 및 Microsoft 운영자가 서비스를 지원하기 위해 수행한 작업입니다.
그런 다음, 이러한 사용 로그를 사용하여 다음 비즈니스 시나리오를 지원할 수 있습니다.
비즈니스 인사이트 분석
Azure Rights Management에서 생성된 로그를 원하는 리포지토리(예: 데이터베이스, OLAP(온라인 분석 처리) 시스템 또는 지도 감소 시스템)로 가져와 정보를 분석하고 보고서를 생성할 수 있습니다. 예를 들어 암호화된 데이터에 액세스하는 사용자를 식별할 수 있습니다. 사용자가 액세스하는 암호화된 데이터와 디바이스 및 위치에서 확인할 수 있습니다. 사용자가 암호화된 콘텐츠를 성공적으로 읽을 수 있는지 여부를 확인할 수 있습니다. 암호화된 중요한 문서를 읽은 사용자를 식별할 수도 있습니다.
오사용 모니터링
Azure Rights Management 서비스를 사용하는 방법에 대한 로깅 정보는 회사의 서비스 사용을 지속적으로 모니터링할 수 있도록 거의 실시간으로 사용할 수 있습니다. 로그의 99.9%는 서비스에 대한 작업이 시작된 후 15분 이내에 사용할 수 있습니다.
예를 들어 표준 근무 시간 외에 암호화된 데이터를 읽는 사람이 갑자기 증가하는 경우 경고를 받을 수 있으며, 이는 악의적인 사용자가 경쟁업체에 판매하기 위해 정보를 수집하고 있음을 나타낼 수 있습니다. 또는 동일한 사용자가 짧은 시간 내에 두 개의 다른 IP 주소에서 데이터에 액세스하는 경우 사용자 계정이 손상되었음을 나타낼 수 있습니다.
법률적 분석 수행
정보 유출이 있는 경우 최근 특정 문서에 액세스한 사용자와 의심스러운 사람이 최근에 액세스한 정보를 묻는 메시지가 표시될 수 있습니다. 암호화된 콘텐츠를 사용하는 사용자는 전자 메일로 이동하거나 USB 드라이브 또는 기타 스토리지 디바이스에 복사되더라도 Azure Rights Management에서 암호화된 항목을 열려면 항상 Rights Management 사용 라이선스를 받아야 하므로 Azure Rights Management 사용 현황 로깅을 사용할 때 이러한 유형의 질문에 답할 수 있습니다. 즉, Azure Rights Management 서비스를 사용하여 데이터를 보호할 때 이러한 로그를 포렌식 분석을 위한 확실한 정보 원본으로 사용할 수 있습니다.
Azure Rights Management 서비스에 대한 추가 로깅 옵션:
| 로깅 옵션 | 설명 |
|---|---|
| 관리 로그 | Azure Rights Management 서비스에 대한 관리 작업을 기록합니다. 예를 들어 서비스가 비활성화된 경우, 슈퍼 사용자 기능이 사용하도록 설정된 경우 및 사용자가 서비스에 관리자 권한을 위임하는 경우입니다. 자세한 내용은 PowerShell cmdlet Get-AipServiceAdminLog를 참조하세요. |
| 문서 추적 | 사용자가 Microsoft Purview Information Protection 클라이언트로 암호화한 문서를 추적하고 해지할 수 있습니다. 전역 관리자는 사용자를 대신하여 이러한 문서를 추적할 수도 있습니다. 자세한 내용은 문서 액세스 추적 및 해지를 참조하세요. |
Azure Rights Management 서비스의 사용 현황 로깅에 대한 자세한 내용은 다음 섹션을 사용합니다.
Azure Rights Management 사용 로그에 액세스하고 사용하는 방법
Azure Rights Management 사용 현황 로깅은 기본적으로 모든 고객에 대해 사용하도록 설정됩니다. 로그 스토리지 또는 로깅 기능의 추가 비용은 없습니다.
Azure Rights Management 서비스는 테넌트를 위해 자동으로 만드는 일련의 Blob으로 로그를 Azure Storage 계정에 씁니다. 각 Blob에는 W3C 확장 로그 형식의 하나 이상의 로그 레코드가 포함됩니다. Blob 이름은 생성된 순서대로 숫자입니다. 이 문서의 뒷부분에 있는 Azure Rights Management 사용 로그를 해석하는 방법 섹션에는 로그 내용 및 해당 로그 생성에 대한 자세한 정보가 포함되어 있습니다.
Azure Rights Management 작업 후에 스토리지 계정에 로그가 표시되는 데 시간이 걸릴 수 있습니다. 대부분의 로그는 15분 내에 표시됩니다. 사용 로그는 "date" 필드 이름에 이전 날짜 값(UTC 시간)이 포함된 경우에만 사용할 수 있습니다. 현재 날짜의 사용 현황 로그는 사용할 수 없습니다. 로컬 폴더, 데이터베이스 또는 맵 감소 리포지토리와 같은 로컬 스토리지에 로그를 다운로드하는 것이 좋습니다.
사용 로그를 다운로드하려면 Microsoft Purview Information Protection AIPService PowerShell 모듈을 사용합니다. 설치 지침은 Azure Right Management 서비스에 대한 AIPService PowerShell 모듈 설치를 참조하세요.
PowerShell을 사용하여 사용 현황 로그를 다운로드하려면
관리자 권한으로 실행 옵션을 사용하여 Windows PowerShell 시작하고 Connect-AipService cmdlet을 사용하여 Azure Rights Management 서비스에 연결합니다.
Connect-AipService다음 명령을 실행하여 특정 날짜에 대한 로그를 다운로드합니다.
Get-AipServiceUserLog -Path <location> -fordate <date>예를 들어 E: 드라이브에 로그라는 폴더를 만든 후 다음을 수행합니다.
특정 날짜(예: 2025년 2월 1일)에 대한 로그를 다운로드하려면 다음 명령을 실행합니다.
Get-AipServiceUserLog -Path E:\Logs -fordate 2/1/2025날짜 범위(예: 2025년 2월 1일부터 2025년 2월 14일까지)에 대한 로그를 다운로드하려면 다음 명령을 실행합니다.
Get-AipServiceUserLog -Path E:\Logs -fromdate 2/1/2025 –todate 2/14/2025
예제에서와 같이 날짜만 지정하면 현지 시간에 시간이 00:00:00으로 간주된 다음 UTC로 변환됩니다. -fromdate 또는 -todate 매개 변수(예: -fordate "2025년 2월 1일 15:00:00")를 사용하여 시간을 지정하면 해당 날짜와 시간이 UTC로 변환됩니다. 그런 다음 Get-AipServiceUserLog 명령은 해당 UTC 기간에 대한 로그를 가져옵니다.
하루 종일 다운로드하도록 지정할 수 없습니다.
기본적으로 이 cmdlet은 세 개의 스레드를 사용하여 로그를 다운로드합니다. 네트워크 대역폭이 충분하고 로그를 다운로드하는 데 필요한 시간을 줄이려면 1에서 32까지의 값을 지원하는 -NumberOfThreads 매개 변수를 사용합니다. 예를 들어 다음 명령을 실행하면 cmdlet은 10개의 스레드를 생성하여 로그를 다운로드합니다. Get-AipServiceUserLog -Path E:\Logs -fromdate 2/1/2025 –todate 2/14/2025 -numberofthreads 10
팁
Microsoft 의 로그 파서(잘 알려진 다양한 로그 형식 간에 변환하는 도구)를 사용하여 다운로드한 모든 로그 파일을 CSV 형식으로 집계할 수 있습니다. 이 도구를 사용하여 데이터를 SYSLOG 형식으로 변환하거나 데이터베이스로 가져올 수도 있습니다. 도구를 설치한 후 를 실행 LogParser.exe /? 하여 이 도구를 사용할 도움말 및 정보를 확인합니다.
예를 들어 다음 명령을 실행하여 모든 정보를 .log 파일 형식으로 가져올 수 있습니다. logparser –i:w3c –o:csv "SELECT * INTO AllLogs.csv FROM *.log"
사용 현황 로그를 해석하는 방법
다음 정보를 사용하여 Azure Rights Management 사용 로그를 해석할 수 있습니다.
로그 시퀀스
Azure Rights Management 서비스는 로그를 일련의 Blob으로 씁니다.
로그의 각 항목에는 UTC 타임스탬프가 있습니다. 서비스가 여러 데이터 센터에서 여러 서버에서 실행되기 때문에 로그가 타임스탬프별로 정렬된 경우에도 로그가 순서가 아닌 것처럼 보일 수 있습니다. 그러나 차이는 작고 일반적으로 1분 이내에 있습니다. 대부분의 경우 로그 분석에 문제가 되지 않습니다.
Blob 형식
각 Blob은 W3C 확장 로그 형식입니다. 다음 두 줄로 시작합니다.
#Software: RMS
#Version: 1.1
첫 번째 줄은 이러한 로그가 Azure Rights Management의 사용 로그임을 식별합니다. 두 번째 줄은 Blob의 나머지가 버전 1.1 사양을 따르는지 식별합니다. 이러한 로그를 구문 분석하는 모든 애플리케이션은 Blob의 나머지 부분을 계속 구문 분석하기 전에 이러한 두 줄을 확인하는 것이 좋습니다.
세 번째 줄은 탭으로 구분된 필드 이름 목록을 열거합니다.
#Fields: date time row-id request-type user-id result correlation-id content-id owner-email issuer template-id file-name date-published c-info c-ip admin-action acting-as-user
각 후속 줄은 로그 레코드입니다. 필드의 값은 이전 줄과 동일한 순서이며 탭으로 구분됩니다. 다음 표를 사용하여 필드를 해석합니다.
| 필드 이름 | W3C 데이터 형식 | 설명 | 예제 값 |
|---|---|---|---|
| 날짜 | 날짜 | 요청이 제공된 UTC 날짜입니다. 원본은 요청을 처리한 서버의 로컬 시계입니다. |
2013-06-25 |
| 시간 | 시간 | 요청이 제공된 24시간 형식의 UTC 시간입니다. 원본은 요청을 처리한 서버의 로컬 시계입니다. |
21:59:28 |
| row-id | 텍스트 | 이 로그 레코드의 고유 GUID입니다. 값이 없는 경우 correlation-id 값을 사용하여 항목을 식별합니다. 이 값은 로그를 집계하거나 로그를 다른 형식으로 복사할 때 유용합니다. |
1c3fe7a9-d9e0-4654-97b7-14fafa72ea63 |
| request-type | 이름 | 요청된 RMS API의 이름입니다. | AcquireLicense |
| user-id | String | 요청을 한 사용자입니다. 값은 작은따옴표로 묶입니다. BYOK(사용자에 의해 관리되는 Azure Rights Management 테넌트 키)의 호출 값은 "이며 요청 유형이 익명일 때도 적용됩니다. |
‘joe@contoso.com’ |
| 결과 | String | 요청이 성공적으로 제공된 경우 '성공'입니다. 요청이 실패한 경우 작은따옴표로 된 오류 유형입니다. |
'성공' |
| correlation-id | 텍스트 | 지정된 요청에 대한 해당 클라이언트 로그와 서버 로그 간에 공통되는 GUID입니다. 이 값은 클라이언트 문제를 해결하는 데 유용할 수 있습니다. |
cab52088-8925-4371-be34-4b71a3112356 |
| content-id | 텍스트 | GUID는 암호화된 콘텐츠(예: 문서)를 식별하는 중괄호로 묶입니다. 이 필드는 request-type이 AcquireLicense이고 다른 모든 요청 형식에 대해 비어 있는 경우에만 값을 갖습니다. |
{bb4af47b-cfed-4719-831d-71b98191a4f2} |
| owner-email | String | Email 문서 소유자의 주소입니다. 요청 유형이 RevokeAccess인 경우 이 필드는 비어 있습니다. |
alice@contoso.com |
| 발급자 | String | 문서 발급자의 Email 주소입니다. 요청 유형이 RevokeAccess인 경우 이 필드는 비어 있습니다. |
alice@contoso.com (또는) FederatedEmail.4c1f4d-93bf-00a95fa1e042@contoso.onmicrosoft.com' |
| template-id | String | 문서를 암호화하는 데 사용되는 권한 관리 템플릿의 ID입니다. 요청 유형이 RevokeAccess인 경우 이 필드는 비어 있습니다. |
{6d9371a6-4e2d-4e97-9a38-202233fed26e} |
| file-name | String | Microsoft Purview Information Protection 클라이언트를 사용하여 추적되는 암호화된 문서의 파일 이름입니다. 현재 일부 파일(예: Office 문서)은 실제 파일 이름이 아닌 GUID로 표시됩니다. 요청 유형이 RevokeAccess인 경우 이 필드는 비어 있습니다. |
TopSecretDocument.docx |
| date-published | 날짜 | 문서가 암호화된 날짜입니다. 요청 유형이 RevokeAccess인 경우 이 필드는 비어 있습니다. |
2015-10-15T21:37:00 |
| c-info | String | 요청을 만드는 클라이언트 플랫폼에 대한 정보입니다. 특정 문자열은 애플리케이션(예: 운영 체제 또는 브라우저)에 따라 달라집니다. |
'MSIPC; version=1.0.623.47; AppName=WINWORD.EXE; AppVersion=15.0.4753.1000; AppArch=x86; OSName=Windows; OSVersion=6.1.7601; OSArch=amd64' |
| c-ip | 주소 | 요청을 만드는 클라이언트의 IP 주소입니다. | 64.51.202.144 |
| admin-action | 부울 | 관리자가 관리자 모드에서 문서 추적 사이트에 액세스했는지 여부입니다. | True |
| 사용자로 동작 | String | 관리자가 문서 추적 사이트에 액세스하는 사용자의 이메일 주소입니다. | 'joe@contoso.com' |
사용자 ID 필드에 대한 예외
사용자 ID 필드는 일반적으로 요청을 한 사용자를 나타내지만 값이 실제 사용자에게 매핑되지 않는 두 가지 예외가 있습니다.
'microsoftrmsonline@<YourTenantID.rms> 값입니다.<region.aadrm.com>'.
이는 Exchange 또는 SharePoint와 같은 Microsoft 365 서비스가 요청을 하고 있음을 나타냅니다. 문자열 <에서 YourTenantID> 는 테넌트의 GUID이며 <지역은> 테넌트가 등록된 지역입니다. 예를 들어 na는 북아메리카 나타내고 eu는 유럽을 나타내고 ap는 아시아를 나타냅니다.
Rights Management 커넥터를 사용하는 경우
이 커넥터의 요청은 rights Management 커넥터를 설치할 때 자동으로 생성되는 Aadrm_S-1-7-0의 서비스 주체 이름으로 기록됩니다.
일반적인 요청 유형
Azure Rights Management 서비스에 대한 많은 요청 유형이 있지만 다음 표에서는 가장 일반적으로 사용되는 요청 유형 중 일부를 식별합니다.
| 요청 형식 | 설명 |
|---|---|
| AcquireLicense | Windows 기반 컴퓨터의 클라이언트가 암호화된 콘텐츠에 대한 사용 라이선스를 요청하고 있습니다. |
| AcquirePreLicense | 클라이언트가 사용자를 대신하여 암호화된 콘텐츠에 대한 사용 라이선스를 요청하고 있습니다. |
| AcquireTemplates | 템플릿 ID를 기반으로 권한 관리 템플릿을 획득하기 위한 호출이 이루어졌습니다. |
| AcquireTemplateInformation | 서비스에서 권한 관리 템플릿의 ID를 가져오기 위해 호출되었습니다. |
| AddTemplate | 권한 관리 템플릿을 추가하기 위해 관리 포털에서 호출합니다. |
| AllDocsCsv | 문서 추적 사이트에서 호출하여 모든 문서 페이지에서 CSV 파일을 다운로드합니다. |
| BECreateEndUserLicenseV1 | 모바일 디바이스에서 최종 사용자 라이선스를 만들기 위한 호출이 이루어집니다. |
| BEGetAllTemplatesV1 | 모든 권한 관리 템플릿을 가져오기 위해 모바일 디바이스(백 엔드)에서 호출합니다. |
| 인증하다 | 클라이언트는 암호화된 콘텐츠의 사용 및 생성을 위해 사용자를 인증합니다. |
| FECreateEndUserLicenseV1 | AcquireLicense 요청과 비슷하지만 모바일 디바이스에서 발생합니다. |
| FECreatePublishingLicenseV1 | 모바일 클라이언트에서 결합된 Certify 및 GetClientLicensorCert와 동일합니다. |
| FEGetAllTemplates | 모바일 디바이스(프런트 엔드)에서 권한 관리 템플릿을 가져오기 위한 호출이 이루어집니다. |
| FindServiceLocationsForUser | Certify 또는 AcquireLicense를 호출하는 데 사용되는 URL을 쿼리하기 위해 호출됩니다. |
| GetClientLicensorCert | 클라이언트는 Windows 기반 컴퓨터에서 게시 인증서(나중에 콘텐츠를 암호화하는 데 사용됨)를 요청합니다. |
| GetConfiguration | Azure Rights Management 서비스에 대한 테넌트 구성을 가져오기 위해 PowerShell cmdlet이 호출됩니다. |
| GetConnectorAuthorizations | 권한 관리 커넥터에서 호출하여 클라우드에서 구성을 가져옵니다. |
| GetRecipients | 문서 추적 사이트에서 단일 문서에 대한 목록 보기로 이동하는 호출이 수행됩니다. |
| GetTenantFunctionalState | 관리 포털에서 Azure Rights Management 서비스가 활성화되었는지 여부를 확인합니다. |
| KeyVaultDecryptRequest | 클라이언트가 Rights Management 암호화된 콘텐츠의 암호를 해독하려고 합니다. Azure Key Vault BYOK(고객 관리 테넌트 키)에만 적용됩니다. |
| KeyVaultGetKeyInfoRequest | Azure Rights Management 테넌트 키에 대한 Azure Key Vault 사용하도록 지정된 키가 액세스 가능하고 아직 사용되지 않는지 확인하기 위해 호출됩니다. |
| KeyVaultSignDigest | Azure Key Vault BYOK(고객 관리형 키)가 서명 목적으로 사용될 때 호출됩니다. 이는 일반적으로 AcquireLicence(또는 FECreateEndUserLicenseV1), Certify 및 GetClientLicensorCert(또는 FECreatePublishingLicenseV1)에 따라 한 번 호출됩니다. |
| KMSPDecrypt | 클라이언트가 Rights Management 암호화된 콘텐츠의 암호를 해독하려고 합니다. 레거시 BYOK(고객 관리 테넌트 키)에만 적용됩니다. |
| KMSPSignDigest | 서명 목적으로 레거시 BYOK(고객 관리형 키)를 사용하는 경우 호출이 수행됩니다. 이는 일반적으로 AcquireLicence(또는 FECreateEndUserLicenseV1), Certify 및 GetClientLicensorCert(또는 FECreatePublishingLicenseV1)에 따라 한 번 호출됩니다. |
| ServerCertify | 서버를 인증하기 위해 Rights Management 지원 클라이언트(예: SharePoint)에서 호출합니다. |
| SetUsageLogFeatureState | 사용 현황 로깅을 사용하도록 설정하기 위한 호출이 수행됩니다. |
| SetUsageLogStorageAccount | Azure Rights Management 서비스 로그의 위치를 지정하기 위한 호출이 이루어집니다. |
| UpdateTemplate | 기존 권한 관리 템플릿을 업데이트하기 위해 관리 포털에서 호출됩니다. |
Azure Rights Management 사용 로그 및 Microsoft Purview 감사
파일 액세스 및 거부된 이벤트에는 파일 이름이 포함되지 않으며 Microsoft Purview 통합 감사 로그에서 액세스할 수 없습니다.
PowerShell 참조
Azure Rights Management 서비스에 연결한 후 Azure Rights Management 사용 현황 로깅에 액세스해야 하는 유일한 PowerShell cmdlet은 Get-AipServiceUserLog입니다.
Azure Rights Management 서비스에 PowerShell을 사용하는 방법에 대한 자세한 내용은 PowerShell을 사용하여 Azure Rights Management 서비스 관리를 참조하세요.