管理员指南:Azure 信息保护统一标记客户端文件和客户端使用情况日志记录
注意
你是否想要了解 Microsoft Purview 信息保护(以前称为 Microsoft 信息保护 (MIP))方面的信息?
适用于 Office 的 Azure 信息保护加载项现在处于维护模式,建议使用内置于 Office 365 应用和服务中的标签。 详细了解其他 Azure 信息保护组件的支持状态。
安装 Azure 信息保护统一标记客户端后,请了解文件所在位置并监控客户端的使用状况。
Azure 信息保护统一标签客户端版本 2.12.62 和更高版本支持使用情况日志记录。
启用使用情况日志记录
若要为统一标记客户端和扫描仪启用使用情况日志记录支持,请按如下所示设置注册表项:
- 注册表路径:HKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\EnableLoggingAuditEventsToEventLog
- 类型:DWORD
- 值:1
日志文件位置
客户端和扫描仪日志文件位于统一标记客户端计算机上的以下位置:
- \ProgramFiles (x86)\Microsoft Azure 信息保护(仅 64 位操作系统)
- \Program Files\Microsoft Azure 信息保护(仅 32 位操作系统)
- %localappdata%\Microsoft\MSIP
客户端使用情况日志记录
注意
客户端使用情况日志记录目前处于预览阶段。 Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。
统一标记客户端将用户活动记录到本地 Windows 事件日志“应用程序和服务日志”>“Azure 信息保护”中 。
客户端的记录事件包含以下信息:
客户端版本
登录用户的 IP 地址
文件名和位置
操作:
设置标签:信息 ID 101
删除标签:信息 ID 104
发现标签:信息 ID 106
应用自定义保护:信息 ID 201
删除自定义保护:信息 ID 202
Outlook 警告、验证和阻止消息的事件需要高级客户端设置。 有关详细信息,请参阅在 Outlook 中实现弹出消息,针对正在发送的电子邮件发出警告、进行验证或阻止。
扫描仪端使用情况日志记录
扫描仪活动记录在以下本地 Windows 事件日志中:应用程序和服务日志 > Azure 信息保护扫描仪
扫描仪的记录事件包含以下信息:
扫描仪计算机的计算机名称
已登录扫描仪用户的 SID(安全标识符)
操作,以下消息类型之一:
信息消息,下列消息之一:
扫描已开始:信息 ID 1001
扫描已完成:信息 ID 1002
更改事件:信息 ID 1003
发现事件:信息 ID 1004
删除的文件:信息 ID 1005
匹配的 DLP 规则:信息 ID 1006
权限报告:信息 ID 1007
警告消息:
警告消息:信息 ID 2001
扫描已取消:信息 ID 2002
错误消息,下列消息之一:
未知错误:信息 ID 3001
无自动标记条件:信息 ID 3002
数据库错误:信息 ID 3003
数据库架构错误:信息 ID 3004
找不到策略:信息 ID 3005
找不到 DLP 策略:信息 ID 3006
找不到内容扫描作业:信息 ID 3007
事件数据,根据操作类型获取更多信息
后续步骤
有关详细信息,请参阅: