使用此資訊來協助您瞭解如何使用加密服務使用使用量記錄,即 Microsoft Purview 資訊保護的 Azure Rights Management。 此加密服務可為組織的項目(例如文件和電子郵件)提供額外的資料保護,並且可以記錄每個請求。 這些要求包括:
- 當使用者加密項目以保護它們,並解密以讀取它們或移除加密時。
- 系統管理員為管理 Azure Rights Management 服務而執行的動作,以及 Microsoft 操作員為支援服務而執行的動作。
然後,您可以使用這些使用記錄來支援下列商務案例:
分析業務見解
Azure Rights Management 產生的記錄可以匯入您選擇的存放庫 (,例如資料庫、OLAP) 系統的線上分析處理 (,或) 分析資訊和產生報告的地圖縮減系統。 例如,您可以識別誰在存取您的加密資料。 您可以確定人們正在訪問哪些加密數據,以及從哪些設備以及從何處訪問。 您可以了解人們是否可以成功讀取加密內容。 您也可以識別哪些人已閱讀已加密的重要文件。
監控不當使用
您可以近乎即時地取得有關如何使用 Azure Rights Management 服務的記錄資訊,以便您可以持續監視公司對服務的使用情況。 99.9% 的記錄可在對服務啟動動作後 15 分鐘內使用。
例如,如果在標準工作時間之外讀取加密資料的人數突然增加,您可能想要收到警示,這可能表示惡意使用者正在收集資訊以出售給競爭對手。 或者,如果同一使用者顯然在短時間內存取了來自兩個不同 IP 位址的數據,這可能表示使用者帳戶已被洩露。
執行鑑定分析
如果您發生資訊外洩,您可能會被問到誰最近存取了特定文件,以及可疑人員最近存取了哪些資訊。 當您使用 Azure Rights Management 使用量記錄時,您可以回答這些類型的問題,因為使用加密內容的人員必須一律取得 Rights Management 使用授權,才能開啟 Azure Rights Management 加密的專案,即使這些專案是透過電子郵件移動或複製到 USB 磁碟驅動器或其他儲存裝置也一樣。 這表示當您使用 Azure Rights Management 服務保護資料時,您可以使用這些記錄作為取證分析的明確資訊來源。
Azure Rights Management 服務的其他記錄選項:
| 記錄選項 | 描述 |
|---|---|
| 管理員記錄 | 記錄 Azure Rights Management 服務的系統管理工作。 例如,如果服務已停用、啟用超級使用者功能,以及將使用者委派給服務的管理員權限。 如需詳細資訊,請參閱 PowerShell Cmdlet Get-AipServiceAdminLog。 |
| 文件追蹤 | 可讓使用者追蹤和撤銷使用 Microsoft Purview 資訊保護用戶端加密的檔。 全域系統管理員也可以代表使用者追蹤這些檔。 如需詳細資訊,請參閱 追蹤和撤銷文件存取權。 |
如需 Azure Rights Management 服務使用量記錄的詳細資訊,請使用下列各節。
如何存取和使用 Azure Rights Management 使用量記錄
根據預設,所有客戶都會啟用 Azure Rights Management 使用量記錄。 日誌儲存或日誌記錄功能沒有額外費用。
Azure Rights Management 服務會將記錄寫入為一系列 Blob,以自動為您的租用戶建立的 Azure 儲存體帳戶。 每個 Blob 都包含一或多個記錄記錄,採用 W3C 擴充記錄格式。 Blob 名稱是數字,依其建立順序排列。 本檔稍後的 如何解譯 Azure Rights Management 使用量記錄 一節包含記錄內容及其建立的詳細資訊。
在執行 Azure Rights Management 動作之後,記錄可能需要一段時間才能出現在您的儲存體帳戶中。 大部分的記錄會在 15 分鐘內出現。 只有在「日期」欄位名稱包含以 UTC 時間) (的先前日期值時,才能使用使用記錄。 目前日期的使用記錄無法使用。 建議您將記錄下載至本機儲存體,例如本機資料夾、資料庫或對應縮減儲存庫。
若要下載使用量記錄,請使用 Microsoft Purview 資訊保護的 AIPService PowerShell 模組。 如需安裝指示,請參閱 安裝 Azure Right Management 服務的 AIPService PowerShell 模組。
使用 PowerShell 下載使用量記錄
使用 [以系統管理員身分執行] 選項啟動 Windows PowerShell,並使用 Connect-AipService Cmdlet 連線到 Azure Rights Management 服務:
Connect-AipService執行下列命令,下載特定日期的記錄:
Get-AipServiceUserLog -Path <location> -fordate <date>例如,在 E: 磁碟機上建立名為 Logs 的資料夾之後:
若要下載特定日期 ((例如 2025 年 2 月 1 日) ) 的記錄,請執行下列命令:
Get-AipServiceUserLog -Path E:\Logs -fordate 2/1/2025若要下載日期範圍 (的記錄,例如 2025 年 2 月 1 日至 2025 年 2 月 14 日) ,請執行下列命令:
Get-AipServiceUserLog -Path E:\Logs -fromdate 2/1/2025 –todate 2/14/2025
當您只指定日期時 (如我們的範例所示),時間會假設為當地時間的 00:00:00,然後轉換為 UTC。 當您使用 -fromdate 或 -todate 參數指定時間時 (例如 -fordate “2/1/2025 15:00:00”) ,該日期和時間會轉換為 UTC。 然後,Get-AipServiceUserLog 命令會取得該 UTC 時段的記錄。
您無法指定少於一整天的下載時間。
根據預設,此 Cmdlet 會使用三個執行緒來下載記錄。 如果您有足夠的網路頻寬,且想要減少下載記錄所需的時間,請使用 -NumberOfThreads 參數,該參數支援 1 到 32 之間的值。 例如,如果您執行下列命令,Cmdlet 會產生 10 個執行緒來下載記錄: Get-AipServiceUserLog -Path E:\Logs -fromdate 2/1/2025 –todate 2/14/2025 -numberofthreads 10
提示
您可以使用 Microsoft 的日誌解析器將所有下載的日誌檔案聚合為 CSV 格式,這是一種在各種已知日誌格式之間進行轉換的工具。 您也可以使用此工具將資料轉換為 SYSLOG 格式,或將其匯入資料庫。 安裝工具之後,請執行 LogParser.exe /? 以取得說明和資訊以使用此工具。
例如,您可以執行下列命令,將所有資訊匯入.log檔案格式: logparser –i:w3c –o:csv "SELECT * INTO AllLogs.csv FROM *.log"
如何解譯您的使用記錄
使用下列資訊來協助您解譯 Azure Rights Management 使用記錄。
日誌序列
Azure Rights Management 服務會將記錄寫入為一系列 Blob。
記錄中的每個項目都有一個 UTC 時間戳記。 由於服務在多個資料中心的多部伺服器上執行,因此有時日誌可能看起來不按順序排列,即使它們是按時間戳記排序的。 然而,差異很小,通常在一分鐘內。 在大部分情況下,這不是日誌分析的問題。
Blob 格式
每個 Blob 都是 W3C 擴充記錄格式。 它以以下兩行開頭:
#Software:RMS
#Version:1.1
第一行會識別這些是來自 Azure Rights Management 的使用記錄。 第二行會識別 Blob 的其餘部分遵循 1.1 版規格。 建議您剖析這些記錄的任何應用程式先驗證這兩行,再繼續剖析 Blob 的其餘部分。
第三行列舉以索引標籤分隔的欄位名稱清單:
#Fields:日期時間 row-id request-type user-id result correlation-id content-id owner-email issuer template-id file-name date-published c-info c-ip admin-action acting-as-user
後續每一行都是日誌記錄。 欄位的值與前一行的順序相同,並以定位點分隔。 使用下表來解譯欄位。
| 欄位名稱 | W3C 資料類型 | 描述 | 範例值 |
|---|---|---|---|
| date | Date | 提供請求的 UTC 日期。 來源是提供要求之伺服器上的本端時鐘。 |
2013-06-25 |
| time | Time | 提供要求時的 24 小時格式的 UTC 時間。 來源是提供要求之伺服器上的本端時鐘。 |
21:59:28 |
| 行 ID | Text | 此記錄記錄的唯一 GUID。 如果值不存在,請使用 correlation-id 值來識別項目。 當您彙總日誌或將日誌複製成其他格式時,此值非常有用。 |
1c3fe7a9-d9e0-4654-97b7-14fafa72ea63 |
| 請求類型 | 名稱 | 所要求的 RMS API 名稱。 | 取得授權 |
| 使用者識別碼 | 字串 | 提出要求的使用者。 此值會以單引號括住。 來自您 (BYOK 所管理的 Azure Rights Management 租用戶金鑰的呼叫) 值為 “,這也適用於要求類型為匿名時。 |
‘joe@contoso.com’ |
| result | 字串 | 如果請求已成功送達,則為「成功」。 如果要求失敗,則以單引號括住的錯誤類型。 |
“成功” |
| 相關識別碼 | Text | GUID,這是指定要求的對應用戶端記錄檔和伺服器記錄檔之間通用的。 此值有助於對用戶端問題進行疑難排解。 |
駕駛室52088-8925-4371-BE34-4B71A3112356 |
| 內容 ID | Text | GUID,以大括弧括住,以識別加密內容 (例如文件) 。 只有在 request-type 為 AcquireLicense 且所有其他要求類型為空白時,此欄位才有值。 |
{bb4af47b-cfed-4719-831d-71b98191a4f2} |
| 擁有者電子郵件 | 字串 | 文件擁有者的 Email 地址。 如果要求類型為 RevokeAccess,則此欄位為空白。 |
alice@contoso.com |
| 發行人 | 字串 | 文件簽發者的 Email 位址。 如果要求類型為 RevokeAccess,則此欄位為空白。 |
alice@contoso.com (還是) FederatedEmail.4c1f4d-93bf-00a95fa1e042@contoso.onmicrosoft.com |
| 模板 ID | 字串 | 用來加密文件的權限管理範本識別碼。 如果要求類型為 RevokeAccess,則此欄位為空白。 |
{6d9371a6-4e2d-4e97-9a38-202233fed26e} |
| 檔案名稱 | 字串 | 使用 Microsoft Purview 資訊保護用戶端追蹤之加密檔檔的檔名。 目前,某些檔案 (,例如 Office 文件) 顯示為 GUID,而不是實際的檔案名稱。 如果要求類型為 RevokeAccess,則此欄位為空白。 |
TopSecretDocument.docx |
| 發布日期 | Date | 文件加密的日期。 如果要求類型為 RevokeAccess,則此欄位為空白。 |
2015-10-15T21:37:00 |
| C-信息 | 字串 | 提出要求之用戶端平台的相關資訊。 具體字串會因應用程式 (而異,例如作業系統或瀏覽器) 。 |
“MSIPC;版本=1.0.623.47;應用程式名稱=WINWORD.EXE;應用程式版本=15.0.4753.1000;AppArch=x86;作業系統:=Windows;OSVersion=6.1.7601;作業系統 Arch=amd64' |
| C-IP | 地址 | 提出要求之用戶端的 IP 位址。 | 64.51.202.144 |
| 管理員動作 | 布林值 | 管理員是否已在管理員模式下存取文件追蹤網站。 | True |
| 以使用者身分行事 | 字串 | 管理員正在存取文件追蹤網站的使用者的電子郵件地址。 | 'joe@contoso.com' |
user-id 欄位的例外狀況
雖然 user-id 欄位通常會指出提出要求的使用者,但有兩個例外狀況,即值不會對應至真實使用者:
值 'microsoftrmsonline@<YourTenantID.rms>.<region.aadrm.com>' 的
這表示 Microsoft 365 服務 (例如 Exchange 或 SharePoint) 正在提出要求。 在字串中, <YourTenantID> 是租用戶的 GUID, <而區域> 是註冊租用戶的區域。 例如,na代表北美洲,eu代表歐洲,ap代表亞洲。
如果您使用 Rights Management 連接器。
來自此連接器的要求會以服務主體名稱 Aadrm_S-1-7-0 記錄,這會在您安裝 Rights Management 連接器時自動產生。
一般要求類型
Azure Rights Management 服務有許多要求類型,但下表識別一些最常使用的要求類型。
| 請求類型 | 描述 |
|---|---|
| 取得授權 | 來自 Windows 電腦的用戶端正在要求加密內容的使用授權。 |
| 取得預先授權 | 用戶端代表使用者要求加密內容的使用授權。 |
| 取得範本 | 已呼叫根據範本識別碼取得權限管理範本 |
| 取得範本資訊 | 已呼叫從服務取得權限管理範本的識別碼。 |
| 新增範本 | 系統會從系統管理入口網站呼叫,以新增權限管理範本。 |
| 所有文件Csv | 從文件追蹤網站呼叫,從 「所有文件」 頁面下載 CSV 檔案。 |
| BECreate終端使用者授權V1 | 從行動裝置撥打電話以建立使用者授權。 |
| BEGetAll模板V1 | 從行動裝置 (後端) 進行呼叫,以取得所有權限管理範本。 |
| 認證 | 用戶端會認證使用者取用及建立加密內容。 |
| FECreateEndUserLicenseV1 | 類似於 AcquireLicense 請求,但來自行動裝置。 |
| FECreatePublishingLicenseV1 | 與來自行動用戶端的 Certify 和 GetClientLicensorCert 組合相同。 |
| FEGetAll模板 | 從行動裝置 (前端) 撥打電話,以取得權限管理範本。 |
| FindServiceLocationsForUser | 會呼叫查詢 URL,用來呼叫 Certify 或 AcquireLicense。 |
| GetClientLicensorCert | 用戶端正在要求發佈憑證 (,稍後會用來加密來自 Windows 電腦的內容) 。 |
| GetConfiguration | 會呼叫 PowerShell Cmdlet 來取得 Azure Rights Management 服務的租用戶設定。 |
| GetConnector授權 | 系統會從 Rights Management 連接器呼叫,以從雲端取得其設定。 |
| Get收件者 | 從文件追蹤網站進行呼叫,以導覽至單一文件的清單檢視。 |
| GetTenantFunctionalState | 系統管理入口網站正在檢查是否已啟用 Azure Rights Management 服務。 |
| KeyVaultDecryptRequest | 用戶端正在嘗試解密 Rights Management 加密內容。 僅適用於客戶管理的租用戶金鑰 (Azure 金鑰保存庫 中的 BYOK) 。 |
| KeyVaultGetKeyInfo要求 | 會呼叫以確認指定要在 Azure 金鑰保存庫中針對 Azure Rights Management 租用戶金鑰使用的金鑰可存取且尚未使用。 |
| 金鑰保存庫Sign摘要 | 當 Azure 金鑰保存庫 中的客戶管理金鑰 (BYOK) 用於簽署目的時,會進行呼叫。 這通常針對每個 AcquireLicence (或 FECreateEndUserLicenseV1) 、Certified 和 GetClientLicensorCert (或 FECreatePublishingLicenseV1) 呼叫一次。 |
| KMSP加密 | 用戶端正在嘗試解密 Rights Management 加密內容。 僅適用於舊版客戶管理的租用戶金鑰 (BYOK) 。 |
| KMSPSignDigest | 當舊版客戶管理金鑰 (BYOK) 用於簽署目的時,會進行呼叫。 這通常針對每個 AcquireLicence (或 FECreateEndUserLicenseV1) 、Certified 和 GetClientLicensorCert (或 FECreatePublishingLicenseV1) 呼叫一次。 |
| 伺服器認證 | 會從已啟用 Rights Management 的用戶端 ((例如 SharePoint) ) 進行呼叫,以認證伺服器。 |
| SetUsageLogFeatureState | 會呼叫以啟用使用量記錄。 |
| SetUsageLogStorageAccount | 會呼叫以指定 Azure Rights Management 服務記錄的位置。 |
| 更新範本 | 系統會從系統管理入口網站呼叫,以更新現有的 Rights Management 範本。 |
Azure Rights Management 使用記錄和 Microsoft Purview 稽核
檔案存取和拒絕的事件不包含檔名,而且無法在 Microsoft Purview 統一稽核記錄中存取。
PowerShell 參考
連線到 Azure Rights Management 服務之後,存取 Azure Rights Management 使用量記錄所需的唯一 PowerShell Cmdlet 是 Get-AipServiceUserLog。
如需將 PowerShell 用於 Azure Rights Management 服務的詳細資訊,請參閱 使用 PowerShell 管理 Azure Rights Management 服務。