Azure Information Protection에서 보호 사용 로깅 및 분석
참고 항목
이전 명칭 MIP(Microsoft Information Protection)인 Microsoft Purview Information Protection을 찾고 계신가요?
Azure Information Protection 추가 기능은 사용 중지되고 Microsoft 365 앱 및 서비스에 기본 제공되는 레이블 로 대체됩니다. 다른 Azure Information Protection 구성 요소의 지원 상태 대해 자세히 알아봅니다.
Microsoft Purview Information Protection 클라이언트(추가 기능 제외)는 일반적으로 사용할 수 있습니다.
이 정보를 사용하여 Azure Information Protection에서 보호 서비스(Azure Rights Management)에 대한 사용 현황 로깅을 사용하는 방법을 이해할 수 있습니다. 이 보호 서비스는 조직의 문서 및 이메일에 대한 데이터 보호를 제공하며 모든 요청을 기록할 수 있습니다. 이러한 요청에는 사용자가 문서 및 전자 메일을 보호하고 이 콘텐츠를 사용하는 경우, 이 서비스에 대해 관리자가 수행한 작업 및 Azure Information Protection 배포를 지원하기 위해 Microsoft 운영자가 수행한 작업이 포함됩니다.
이러한 사용 현황 로그는 다음과 같은 비즈니스 시나리오를 지원하는 데 사용할 수 있습니다.
비즈니스 인사이트 분석
보호 서비스에서 생성한 로그를 데이터베이스, OLAP(온라인 분석 처리) 시스템 또는 맵 감소 시스템과 같은 선택한 리포지토리로 가져와서 정보를 분석하고 보고서를 생성할 수 있습니다. 예를 들어 보호된 데이터에 액세스하는 사용자를 식별할 수 있습니다. 사용자가 액세스하는 보호된 데이터와 디바이스 및 위치에서 확인할 수 있습니다. 사용자가 보호된 콘텐츠를 성공적으로 읽을 수 있는지 여부를 확인할 수 있습니다. 보호된 중요한 문서를 읽은 사용자를 식별할 수도 있습니다.
남용 모니터링
보호 사용에 대한 로깅 정보는 거의 실시간으로 제공되므로 회사의 보호 서비스 사용을 지속적으로 모니터링할 수 있습니다. 로그의 99.9%는 서비스에 대해 시작된 작업 후 15분 이내에 사용할 수 있습니다.
예를 들어 표준 근무 시간 외에 보호된 데이터를 읽는 사람이 갑자기 증가하는 경우 악의적인 사용자가 경쟁업체에 판매하기 위해 정보를 수집하고 있음을 나타낼 수 있다는 경고를 받을 수 있습니다. 또는 동일한 사용자가 짧은 시간 내에 두 개의 서로 다른 IP 주소에서 데이터에 액세스하는 경우 사용자 계정이 손상되었음을 나타낼 수 있습니다.
법의학 분석 수행
정보 유출이 있는 경우 최근 특정 문서에 액세스한 사용자와 최근 의심스러운 사용자가 액세스한 정보를 묻는 메시지가 표시될 수 있습니다. 이 로깅을 사용하는 경우 이러한 유형의 정보를 쉽게 파악할 수 있습니다. 보호된 콘텐츠를 사용하는 사용자는 Azure Information Protection으로 보호되는 문서와 사진을 열려면 항상 Rights Management 라이선스를 받아야 합니다. 이메일을 통해 이러한 파일을 이동하거나 USB 드라이브 또는 기타 저장 장치에 복사하는 경우에도 마찬가지입니다. 즉, Azure Information Protection을 사용하여 데이터를 보호할 때는 이러한 로그를 법정 분석용의 최종 정보 출처로 사용할 수 있습니다.
이 사용 현황 로깅 외에도 다음과 같은 로깅 옵션도 있습니다.
로깅 옵션 | 설명 |
---|---|
관리 로그 | 보호 서비스를 위해 관리 작업을 기록합니다. 예를 들어 서비스가 비활성화된 경우, 슈퍼 사용자 기능을 사용하는 경우 및 사용자가 서비스에 관리자 권한을 위임할 때입니다. 자세한 내용은 PowerShell cmdlet, Get-AipServiceAdminLog를 참조하세요. |
문서 추적 | 사용자가 Azure Information Protection 클라이언트를 사용하여 추적한 문서를 추적하고 해지할 수 있습니다. 전역 관리자는 사용자를 대신하여 이러한 문서를 추적할 수도 있습니다. 자세한 내용은 Azure Information Protection에 대한 문서 추적 구성 및 사용을 참조하세요. |
클라이언트 이벤트 로그 | 로컬 Windows 애플리케이션 및 서비스 이벤트 로그인 Azure Information Protection에 기록된 Azure Information Protection 클라이언트에 대한 사용 활동입니다. 자세한 내용은 Azure Information Protection 클라이언트에 대한 사용 현황 로깅을 참조 하세요. |
클라이언트 로그 파일 | %localappdata%\Microsoft\MSIP에 있는 Azure Information Protection 클라이언트에 대한 문제 해결 로그입니다. 이러한 파일은 Microsoft 지원 위해 설계되었습니다. |
또한 Azure Information Protection 클라이언트 사용 로그 및 Azure Information Protection 스캐너의 정보가 수집되고 집계되어 Azure Portal에서 보고서를 만듭니다. 자세한 내용은 Azure Information Protection에 대한 보고를 참조하세요.
다음 섹션에서 보호 서비스 사용 현황 로깅과 관련된 자세한 내용을 확인할 수 있습니다.
보호 사용 현황에 대한 로깅을 사용하도록 설정하는 방법
보호 사용 현황 로깅은 모든 고객에 대해 기본적으로 사용하도록 설정됩니다.
로그 스토리지 또는 로깅 기능 기능에 대한 추가 비용은 없습니다.
보호 사용 현황 로그에 액세스하고 사용하는 방법
Azure Information Protection은 테넌트에 대해 자동으로 만드는 일련의 Blob으로 로그를 Azure Storage 계정에 씁니다. 각 Blob에는 W3C 확장 로그 형식의 하나 이상의 로그 레코드가 포함됩니다. Blob 이름은 생성된 순서대로 숫자입니다. 이 문서의 뒷부분에 있는 Azure Rights Management 사용 현황 로그 를 해석하는 방법 섹션에는 로그 내용 및 해당 생성에 대한 자세한 정보가 포함되어 있습니다.
보호 작업 이후 저장소 계정에 로그가 표시될 때까지 다소 시간이 걸릴 수 있습니다. 대부분의 로그는 15분 내에 표시됩니다. 사용 현황 로그는 "날짜" 필드 이름에 이전 날짜의 값(UTC 시간)이 포함된 경우에만 사용할 수 있습니다. 현재 날짜의 사용 현황 로그를 사용할 수 없습니다. 로컬 폴더, 데이터베이스 또는 map-reduce 리포지토리와 같은 로컬 스토리지에 로그를 다운로드하는 것이 좋습니다.
사용 현황 로그를 다운로드하려면 Azure Information Protection에 AIPService PowerShell 모듈을 사용합니다. 설치 지침은 AIPService PowerShell 모듈 설치를 참조하세요.
PowerShell을 사용하여 사용 현황 로그를 다운로드하려면
관리자 권한으로 실행 옵션을 사용하여 Windows PowerShell을 시작하고, Connect-AipService cmdlet을 사용하여 Azure Information Protection에 연결합니다.
Connect-AipService
다음 명령을 실행하여 특정 날짜에 대한 로그를 다운로드합니다.
Get-AipServiceUserLog -Path <location> -fordate <date>
예를 들어 E: 드라이브에 로그라는 폴더를 만든 후 다음을 수행합니다.
특정 날짜(예: 2016년 2월 1일)에 대한 로그를 다운로드하려면 다음 명령을 실행합니다.
Get-AipServiceUserLog -Path E:\Logs -fordate 2/1/2016
날짜 범위(예: 2016년 2월 1일부터 2016년 2월 14일까지)에 대한 로그를 다운로드하려면 다음 명령을 실행합니다.
Get-AipServiceUserLog -Path E:\Logs -fromdate 2/1/2016 –todate 2/14/2016
예제와 같이 날짜만 지정하는 경우 시간은 현지 시간에 00:00:00으로 간주된 다음 UTC로 변환됩니다. -fromdate 또는 -todate 매개 변수(예: -fordate "2016년 2월 1일 15:00:00")를 사용하여 시간을 지정하면 해당 날짜와 시간이 UTC로 변환됩니다. 그런 다음 Get-AipServiceUserLog 명령은 해당 UTC 기간에 대한 로그를 가져옵니다.
하루 종일 다운로드하도록 지정할 수 없습니다.
기본적으로 이 cmdlet은 세 개의 스레드를 사용하여 로그를 다운로드합니다. 네트워크 대역폭이 충분하고 로그를 다운로드하는 데 필요한 시간을 줄이려면 1에서 32까지의 값을 지원하는 -NumberOfThreads 매개 변수를 사용합니다. 예를 들어 다음 명령을 실행하면 cmdlet은 10개의 스레드를 생성하여 로그를 다운로드합니다. Get-AipServiceUserLog -Path E:\Logs -fromdate 2/1/2016 –todate 2/14/2016 -numberofthreads 10
팁
잘 알려진 다양한 로그 형식 간에 변환하는 도구인 Microsoft의 Log Parser를 사용하여 다운로드한 모든 로그 파일을 CSV 형식으로 집계할 수 있습니다. 이 도구를 사용하여 데이터를 SYSLOG 형식으로 변환하거나 데이터베이스로 가져올 수도 있습니다. 도구를 설치한 후 도움말 및 정보를 실행 LogParser.exe /?
하여 이 도구를 사용합니다.
예를 들어 다음 명령을 실행하여 모든 정보를 .log 파일 형식으로 가져올 수 있습니다. logparser –i:w3c –o:csv "SELECT * INTO AllLogs.csv FROM *.log"
사용 현황 로그를 해석하는 방법
다음 정보를 참조하여 보호 사용 현황 로그를 해석할 수 있습니다.
로그 시퀀스
Azure Information Protection은 일련의 Blob으로 로그를 씁니다.
로그의 각 항목에는 UTC 타임스탬프가 있습니다. 보호 서비스가 여러 데이터 센터의 여러 서버에서 실행되므로 로그가 타임스탬프를 기준으로 정렬되었어도 순서가 올바르지 않은 것처럼 보일 수 있습니다. 그러나 차이는 작고 일반적으로 1분 이내에 있습니다. 대부분의 경우 이는 로그 분석에 문제가 되는 문제가 아닙니다.
Blob 형식
각 Blob은 W3C 확장 로그 형식입니다. 다음 두 줄로 시작합니다.
#Software: RMS
#Version: 1.1
첫 번째 줄은 이러한 로그가 Azure Information Protection의 보호 로그임을 식별합니다. 두 번째 줄은 나머지 Blob이 버전 1.1 사양을 따르는 것을 식별합니다. 이러한 로그를 구문 분석하는 모든 애플리케이션은 Blob의 나머지 부분을 계속 구문 분석하기 전에 이러한 두 줄을 확인하는 것이 좋습니다.
세 번째 줄은 탭으로 구분된 필드 이름 목록을 열거합니다.
#Fields: date time row-id request-type user-id result correlation-id content-id owner-email issuer template-id file-name date-published c-info c-ip admin-action acting-as-user
각 후속 줄은 로그 레코드입니다. 필드 값은 이전 줄과 동일한 순서로 탭으로 구분됩니다. 다음 표를 사용하여 필드를 해석합니다.
필드 이름 | W3C 데이터 형식 | 설명 | 예제 값 |
---|---|---|---|
date | 날짜 | 요청이 제공된 UTC 날짜입니다. 원본은 요청을 처리한 서버의 로컬 시계입니다. |
2013-06-25 |
time | Time | 요청이 제공된 24시간 형식의 UTC 시간입니다. 원본은 요청을 처리한 서버의 로컬 시계입니다. |
21:59:28 |
row-id | Text | 이 로그 레코드의 고유 GUID입니다. 값이 없으면 상관 관계 ID 값을 사용하여 항목을 식별합니다. 이 값은 로그를 집계하거나 로그를 다른 형식으로 복사할 때 유용합니다. |
1c3fe7a9-d9e0-4654-97b7-14fafa72ea63 |
request-type | 속성 | 요청된 RMS API의 이름입니다. | AcquireLicense |
user-id | 문자열 | 요청을 한 사용자입니다. 값은 작은따옴표로 묶입니다. BYOK(사용자가 관리하는 테넌트 키)의 호출 값은 "이며 요청 형식이 익명인 경우에도 적용됩니다. |
'joe@contoso.com' |
result | 문자열 | 요청이 성공적으로 제공된 경우 '성공'입니다. 요청이 실패한 경우 작은따옴표로 된 오류 유형입니다. |
'성공' |
correlation-id | Text | 지정된 요청에 대한 RMS 클라이언트 로그와 서버 로그 간에 공통적인 GUID입니다. 이 값은 클라이언트 문제를 해결하는 데 유용할 수 있습니다. |
cab52088-8925-4371-be34-4b71a3112356 |
content-id | Text | 보호된 콘텐츠(예: 문서)를 식별하는 중괄호로 묶인 GUID입니다. 이 필드에는 request-type이 AcquireLicense이고 다른 모든 요청 형식에 대해 비어 있는 경우에만 값이 있습니다. |
{bb4af47b-cfed-4719-831d-71b98191a4f2} |
owner-email | 문자열 | 문서 소유자의 전자 메일 주소입니다. 요청 유형이 RevokeAccess인 경우 이 필드는 비어 있습니다. |
alice@contoso.com |
발급자 | 문자열 | 문서 발급자의 전자 메일 주소입니다. 요청 유형이 RevokeAccess인 경우 이 필드는 비어 있습니다. |
alice@contoso.com (또는) FederatedEmail.4c1f4d-93bf-00a95fa1e042@contoso.onmicrosoft.com' |
template-id | 문자열 | 문서를 보호하는 데 사용되는 서식 파일의 ID입니다. 요청 유형이 RevokeAccess인 경우 이 필드는 비어 있습니다. |
{6d9371a6-4e2d-4e97-9a38-202233fed26e} |
file-name | 문자열 | Windows용 Azure Information Protection 클라이언트를 사용하여 추적되는 보호된 문서의 파일 이름입니다. 현재 일부 파일(예: Office 문서)은 실제 파일 이름이 아닌 GUID로 표시됩니다. 요청 유형이 RevokeAccess인 경우 이 필드는 비어 있습니다. |
TopSecretDocument.docx |
date-published | 날짜 | 문서가 보호된 날짜입니다. 요청 유형이 RevokeAccess인 경우 이 필드는 비어 있습니다. |
2015-10-15T21:37:00 |
c-info | 문자열 | 요청을 만드는 클라이언트 플랫폼에 대한 정보입니다. 특정 문자열은 애플리케이션(예: 운영 체제 또는 브라우저)에 따라 달라집니다. |
'MSIPC; version=1.0.623.47; AppName=WINWORD.EXE; AppVersion=15.0.4753.1000; AppArch=x86; OSName=Windows; OSVersion=6.1.7601; OSArch=amd64' |
c-ip | 주소 | 요청을 만드는 클라이언트의 IP 주소입니다. | 64.51.202.144 |
admin-action | Bool | 관리자가 관리이스트레이터 모드에서 문서 추적 사이트에 액세스했는지 여부입니다. | True |
사용자로 동작 | 문자열 | 관리자가 문서 추적 사이트에 액세스하는 사용자의 이메일 주소입니다. | 'joe@contoso.com' |
사용자 ID 필드에 대한 예외
일반적으로 사용자 ID 필드는 요청을 한 사용자를 나타내지만 값이 실제 사용자에게 매핑되지 않는 두 가지 예외가 있습니다.
'microsoftrmsonline@<YourTenantID.rms> 값입니다.<region.aadrm.com>'.
이 값은 Exchange Online 또는 Microsoft SharePoint와 같은 Office 365 서비스에서 요청을 수행함을 나타냅니다. 위 문자열에서 <YourTenantID>는 테넌트의 GUID이고, <region>은 테넌트가 등록된 지역입니다. 예를 들어 na는 북아메리카 나타내고 eu는 유럽을 나타내고 ap는 아시아를 나타냅니다.
RMS 커넥터를 사용하는 경우
이 커넥터의 요청은 RMS 커넥터를 설치할 때 자동으로 생성되는 Aadrm_S-1-7-0의 서비스 주체 이름으로 기록됩니다.
일반적인 요청 유형
보호 서비스에는 다양한 요청 형식이 있습니다. 아래 표에는 가장 일반적으로 사용되는 몇 가지 요청 형식이 나와 있습니다.
요청 유형 | 설명 |
---|---|
AcquireLicense | 클라이언트가 Windows 기반 컴퓨터에서 보호된 콘텐츠용 라이선스를 요청합니다. |
AcquirePreLicense | 사용자를 대신하여 클라이언트가 보호된 콘텐츠에 대한 라이선스를 요청합니다. |
AcquireTemplates | 템플릿 ID를 기반으로 템플릿을 획득하기 위한 호출이 이루어졌습니다. |
AcquireTemplateInformation | 서비스에서 템플릿의 ID를 가져오기 위해 호출되었습니다. |
AddTemplate | 템플릿을 추가하도록 Azure Portal에서 호출합니다. |
AllDocsCsv | 문서 추적 사이트에서 호출하여 모든 문서 페이지에서 CSV 파일을 다운로드합니다. |
BECreateEndUserLicenseV1 | 최종 사용자 라이선스를 만들도록 모바일 디바이스에서 호출합니다. |
BEGetAllTemplatesV1 | 모바일 디바이스(백 엔드)에서 모든 템플릿을 가져오도록 호출합니다. |
인증 | 클라이언트는 보호된 콘텐츠의 사용 및 생성에 대해 사용자를 인증합니다. |
FECreateEndUserLicenseV1 | AcquireLicense 요청과 비슷하지만 모바일 디바이스의 요청과 비슷합니다. |
FECreatePublishingLicenseV1 | 모바일 클라이언트에서 결합된 Certify 및 GetClientLicensorCert와 동일합니다. |
FEGetAllTemplates | 모바일 디바이스(프런트 엔드)에서 템플릿을 가져오도록 호출합니다. |
FindServiceLocationsForUser | Certify 또는 AcquireLicense를 호출하는 데 사용되는 URL을 쿼리하기 위해 호출됩니다. |
GetClientLicensorCert | 클라이언트가 Windows 기반 컴퓨터에서 게시 인증서(나중에 콘텐츠를 보호하는 데 사용됨)를 요청하고 있습니다. |
GetConfiguration | Azure RMS 테넌트 구성을 가져오기 위해 Azure PowerShell cmdlet이 호출됩니다. |
Get커넥트orAuthorizations | 클라우드에서 구성을 가져오도록 RMS 커넥터에서 호출합니다. |
GetRecipients | 문서 추적 사이트에서 호출하여 단일 문서의 목록 보기로 이동합니다. |
GetTenantFunctionalState | Azure Portal에서 보호 서비스(Azure Rights Management)가 활성화되었는지 여부를 확인합니다. |
KeyVaultDecryptRequest | 클라이언트가 RMS로 보호되는 콘텐츠의 암호를 해독하려고 합니다. Azure Key Vault의 BYOK(고객 관리 테넌트 키)에만 적용됩니다. |
KeyVaultGetKeyInfoRequest | Azure Information Protection 테넌트 키에 대해 Azure Key Vault에서 사용하도록 지정된 키가 액세스할 수 있고 아직 사용되지 않는지 확인하기 위한 호출이 이루어집니다. |
KeyVaultSignDigest | Azure Key Vault의 BYOK(고객 관리형 키)가 서명 목적으로 사용될 때 호출이 수행됩니다. 일반적으로 AcquireLicence(또는 FECreateEndUserLicenseV1), Certify 및 GetClientLicensorCert(또는 FECreatePublishingLicenseV1)에 따라 한 번씩 호출됩니다. |
KMSPDecrypt | 클라이언트가 RMS로 보호되는 콘텐츠의 암호를 해독하려고 합니다. 레거시 BYOK(고객 관리 테넌트 키)에만 적용됩니다. |
KMSPSignDigest | 서명 목적으로 레거시 BYOK(고객 관리형 키)를 사용하는 경우 호출이 수행됩니다. 일반적으로 AcquireLicence(또는 FECreateEndUserLicenseV1), Certify 및 GetClientLicensorCert(또는 FECreatePublishingLicenseV1)에 따라 한 번씩 호출됩니다. |
ServerCertify | 서버를 인증하기 위해 RMS 사용 클라이언트(예: SharePoint)에서 호출합니다. |
SetUsageLogFeatureState | 사용 현황 로깅을 사용하도록 호출합니다. |
SetUsageLogStorageAccount | Azure Rights Management 서비스 로그의 위치를 지정하도록 호출합니다. |
UpdateTemplate | Azure Portal에서 기존 템플릿을 업데이트하도록 호출합니다. |
보호 사용 로그 및 Microsoft 365 통합 감사 로그
파일 액세스 및 거부된 이벤트는 현재 파일 이름을 포함하지 않으며 Microsoft 365 통합 감사 로그에서 액세스할 수 없습니다. 이러한 이벤트는 독립 실행형으로 유용하도록 향상되고 나중에 Rights Management Service에서 추가됩니다.
PowerShell 참조
보호 사용 현황 로깅에 액세스하는 데 필요한 유일한 PowerShell cmdlet은 Get-AipServiceUserLog입니다.
Azure Information Protection용 PowerShell 사용에 대한 자세한 내용은 PowerShell을 사용하여 Azure Information Protection에서 보호 관리를 참조하세요.